Как обеспечить информационную безопасность – 7 главных методов

1. Помните об основах

Физическая защита ИТ-инфраструктуры

В погоне за виртуальными уязвимостями и обсуждениями очередных политик безопасники иногда забывают об угрозах банальных краж и вмешательствах в работу оборудования на уровне “железа”. Порой это приводит к забавным ситуациям. Вот реальный эпизод из жизни – в то время как сотрудники центрального офиса были по уши зарегулированы требованиями своей СБ, в филиале компании доступ в серверную комнату с улицы осуществлялся только с помощью четырехзначного пароля на входной двери, причем за десять лет, как мне известно, эта комбинация не менялась ни разу.

Чтобы обеспечить физическую безопасность ИТ-инфраструктуры должным образом, следует:

• Разместить оборудование в защищенном от неавторизованного доступа помещении (доступ только по биометрии или пропускам, видеонаблюдение, закрытые серверные стойки с выдачей ключей только под роспись и т.д.).
• Обеспечить резервирование в подаче электроэнергии (дополнительные линии питания, ИБП, генераторы), резервирование по сети и по холоду (резервные кондиционеры, чиллеры и т.д).
• Обеспечить систему предупреждения о пожаре и систему пожаротушения.
• Обеспечить резервирование СКС

Вообще, при организации резервирования кабелей важно помнить о правиле двух ковшей экскаватора:

Источник: Microsoft “Zero Trust Essentials eBook”

• Осуществлять мониторинг состояния объекта и оборудования, включая постоянное наблюдение за доступом персонала к оборудованию, вести журналы событий и доступа, периодически проводить проверки.

Для выполнения всех этих требований целесообразно разместить оборудование в хорошем ЦОДе. При соблюдении всего комплекса мероприятий можно считать, что инфраструктура физически защищена.

Защита учетных данных пользователей

Если верить отчету Verizon об исследовании утечек данных за 2015 год, то в 95% случаев утечек также наличествовал факт утечки учетных данных. Очевидно, что данные авторизации и проверки подлинности пользователей (логины, пароли, токены доступа) должны быть надежно защищены в первую очередь. Защитить учетные данные можно с помощью:

• Использования служб управления идентификацией наподобие Active Directory.
• Мультифакторной аутентификации (MFA). При авторизации, помимо пароля, пользователь должен выполнить дополнительное действие для успешного входа: ввести код из СМС, ответить на телефонный звонок, подтвердить личность с помощью биометрии.

Источник: Microsoft “Zero Trust Essentials eBook”

• Внедрения доступа на основе ролей (RBAC), причем роли должны назначаться, исходя из принципов минимальных привилегий. Таким образом, даже если один из пользователей будет скомпрометирован, злоумышленник не получит полного доступа к инфраструктуре.
• Внедрения политик паролей, регламентирующих минимальную длину пароля и максимального количества попыток входа в систему.
• Включения уведомлений о входе в систему.
• Запрета на совместное использование учетных записей персоналом. Сложно выяснить сразу, какой именно сотрудник использует аккаунт в данный конкретный момент и какие действия он производит.

Однажды из-за совместного использования одной учетной записи тремя (!) сотрудниками более двух дней не получалось понять, кем и с какой целью были произведены изменения в базу учета компьютерного оборудования. Проверка показывала, что было списано несколько единиц, но выявить конкретного работника и получить от него объяснение удалось далеко не сразу – это потенциальный инцидент утери оборудования.

• Использования более сложных паролей.

Безопасность сетей

Контролировать доступ к сетевым ресурсам так же важно, как и учетные данные пользователей. Это ключевой элемент информационной безопасности одинаково важен и в on-premises инфраструктуре, и в облаке. Основные действия защиты сетей можно разделить на три уровня: уровень управления сетевыми устройствами, контроля трафика в адрес сетевых устройств и уровень транзитных данных.

Действия на уровне управления сетевыми устройствами.

• Применение политики паролей, включая такие функции, как максимальное количество входов в систему, количество попыток и минимальная длина пароля.
• Применение RBAC с минимально необходимыми привилегиями.
• Установка точного времени на всех устройствах, используя NTP.
• Использование зашифрованной версии протокола SNMP.
• Контроль за сеансами управления сетевыми устройствами.
• Сеансы должны устанавливаться только с доверенных IP-адресов.
• Хранения системного журнала в зашифрованном виде, не открытым текстом.

Действия на уровне контроля трафика в адрес сетевых устройств.

На этом уровне рассматриваются действия для защиты сетевых устройств от нежелательного трафика, направленного в адрес сетевого устройства непосредственно. Несмотря на то, что пересылка пакетов (трафик) относится к следующему уровню, уровню данных, если пакет поступает в адрес непосредственно сетевого устройства (служебный трафик), это уже не транзитный пакет, который просто перенаправляется путем поиска информации в кэше маршрутов. Вместо этого сетевое устройство (роутер, L3-свитч) тратит определенное количество времени на инспекцию пакета. Если таких пакетов послано много, то у роутера может просто не хватить ресурсов для нормальной работы.

Чтобы избежать перегрузки устройства нетранзитным трафиком, можно использовать:

• Control Plane Policing. Политика превентивной защиты от сетевых атак, CoPP фильтрует и ограничивает трафик, поступающий на маршрутизатор.

Действия на уровне транзитных данных

На этом уровне рассматриваются действия касательно данных, проходящих через сетевое устройство, а не в его адрес. Для обеспечения безопасности на этом уровне используйте следующие действия:

• Блокируйте нежелательный трафик пакетов. С помощью ACL (списков доступа) можно запретить весь трафик, который не разрешен явно – это наиболее безопасный вариант.
• Ограничьте полосу пропускания для определенных протоколов, которые могут быть использованы в DoS-атаках, например, ICMP.

Конечно, также не рекомендуется забывать про разбивание большой сети на несколько логических подсетей (VLAN), не использовать стандартные порты, применять сети ДМЗ для дополнительного уровня безопасности между Интернетом и вашими ресурсами. Если некоторые сотрудники компании работают удаленно, то особенно важно обеспечивать подключение к корпоративным ресурсам через VPN.

Безопасность данных

Система защиты данных должна минимизировать риски как несанкционированного хищения и раскрытия данных, так и их порчи или утери, как случайных, так и преднамеренных. Чтобы защитить файлы, можно использовать следующие инструменты:

• Шифрование дисков. Даже если файлы с диска удастся похитить, без ключа получить доступ к данным не получится. Целесообразно внедрять политику шифрования дисков на компьютерах сотрудников, для Linux можно использовать dm-crypt, для Windows – BitLocker.
• Управление ключами. После того, как вы выполнили шифрование, рекомендуется использовать специализированные решения по хранению ключей, чтобы они не были скомпрометированы.
• Резервные копии. Регулярно выполняйте резервное копирование, сохраняя бэкапы в разные компоненты вашей инфраструктуры, изолированные друг от друга (сохранения следует делать в независимых друг от друга хранилищах, серверных стойках, возможно, даже в разных дата-центрах). Даже если одна из копий будет недоступна, доступ к остальным сохранится.
• Используйте SSL-сертификаты. SSL-сертификаты защищают данные, передаваемые между пользователями и системами.

Защита конечных точек

• Всё возрастающее количество конечных устройств: ноутбуков, смартфонов и IoT-устройств, подключенных к ИТ-инфраструктуре, повышают вероятность несанкционированного доступа к данным именно через них, используя вредоносные файлы, различные ошибки пользователей и фишинг.
• Используйте антивирусы на устройствах. Хороший антивирус особенно необходим на устройствах, работающих удаленно, не в локальной сети офиса. Вовремя обновляйте базы данных сигнатур.
• В обязательном порядке устанавливайте пароль на ваши устройства.
• Применяйте уже упомянутое выше шифрование дисков.
• Обучайте сотрудников базовым правилам безопасного поведения в сети: не переходить по подозрительным ссылкам, не использовать один пароль в нескольких местах, не подключаться к непроверенным Wi-Fi точкам, не реагировать на спам.