Выбери формат для чтения
Загружаем конспект в формате doc
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Лекция 7
Защита уровней обеспечения кибербезопасности
Защита вашего домена - это постоянный процесс, охватывающий сетевую инфраструктуру организации. Он требует постоянного отслеживания потенциальных угроз и принятия мер по предотвращению любых нарушений периметра безопасности. В этой главе рассматриваются технологии, процессы и процедуры, которые применяются специалистами по кибербезопасности для защиты систем, устройств и данных, составляющих сетевую инфраструктуру.
Сетевая инфраструктура защищена настолько, насколько защищено ее наиболее уязвимое звено. Важно обеспечить безопасность оконечных устройств в сетевой инфраструктуре, в число которых входят устройства сетевой инфраструктуры в локальной сети (LAN) и оконечные системы, такие как рабочие станции, серверы, IP-телефоны и точки доступа.
Повышение надежности устройств - важнейшая задача при обеспечении безопасности сетевой инфраструктуры. Она включает использование проверенных способов физической защиты сетевых устройств. Применяются такие способы, как защита административного доступа и паролей, внедрение безопасной системы коммуникаций.
Безопасность операционной системы
Операционная система играет ключевую роль в работе компьютерной системы и является объектом множества атак. Безопасность операционной системы определяет безопасность компьютерной системы в целом.
Для повышения надежности операционной системы администратор изменяет конфигурацию по умолчанию так, чтобы она была более защищена от внешних угроз. Процесс подразумевает в том числе удаление ненужных программ и сервисов. Другим обязательным этапом повышения надежности операционных систем является внедрение исправлений уязвимости и установка обновлений для системы безопасности. Исправления и обновления предназначены для минимизации числа уязвимостей и исправления ошибок в продуктах.
В организации необходим системный подход к внедрению обновлений системы, включающий следующее.
• Внедрение процедур для мониторинга информации, связанной с безопасностью.
• Оценка применимости обновлений.
• Планирование установки обновлений и исправлений.
• Установка обновлений на основе документированного плана.
Также при защите операционных систем критически важно выявлять потенциальные уязвимости. Для этого можно использовать базовые показатели. Администратор может сравнить текущие показатели работы системы с базовыми.
Microsoft Baseline Security Analyzer (MBSA) проводит анализ системы Microsoft Windows и выявляет в ее конфигурации отсутствие обновлений безопасности. MBSA проверяет наличие пустых, простых или несуществующих паролей, параметры межсетевого экрана, статус гостевой учетной записи, данные учетной записи администратора, проводит аудит событий безопасности, находит ненужные сервисы, совместно используемые сетевые ресурсы и проверяет параметры реестра. После повышения надежности операционной системы администратор создает политики и процедуры для поддержания высокого уровня безопасности.
Защита от вредоносных программ
К вредоносному ПО относятся вирусы, интернет-черви, трояны, клавиатурные шпионы (кейлоггеры), шпионское и рекламное ПО. Все эти виды вредоносного ПО нарушают конфиденциальность, наносят повреждения системам, удаляют и искажают данные.
Для защиты компьютеров и мобильных устройств важно использовать надежное ПО для защиты от вредоносных программ. Ниже перечислены типы такого ПО, которое доступно на сегодняшний день.
• Защита от вирусов - такие программы постоянно отслеживают состояние системы на предмет наличия в ней вирусов. В случае выявления вируса программа предупреждает пользователя и пытается поместить вирус в карантин или удалить, как показано на рисунке 1.
• Защита от рекламного ПО - эти программы выполняют поиск ПО, отображающего рекламу на компьютере.
• Защита от фишинга - такие программы блокируют IP-адреса известных фишинговых веб-сайтов и предупреждают пользователя о подозрительных сайтах.
• Защита от шпионского ПО - эти программы проверяют компьютер на наличие клавиатурных шпионов и другого шпионского ПО.
• Доверенные/ненадежные источники - программа предупреждает о попытке установки опасных программ или о подозрительных веб-сайтах, прежде чем пользователь их посетит.
Для удаления всего вредоносного ПО может потребоваться использовать несколько различных программ и выполнить поиск несколько раз. Запускайте только одну программу защиты от вредоносного ПО одновременно.
Некоторые авторитетные разработчики, такие как McAfee, Symantec и Kaspersky, предлагают решения для комплексной защиты компьютеров и мобильных устройств от вредоносного ПО.
Следует проявлять осторожность при выборе продукта для защиты, поскольку в Интернете встречаются мошеннические антивирусы. Большинство таких мошеннических антивирусов отображают рекламные или всплывающие сообщения, похожие на реальные предупреждения Windows. Они обычно сообщают, что компьютер заражен вредоносным ПО, и предлагают пользователю очистить его. При щелчке в любом месте такого окна может, фактически, начаться загрузка и установка вредоносного ПО.
К неутвержденному или не соответствующему требованиям программному обеспечению относятся не только программы, которые устанавливаются на компьютер непреднамеренно. Это могут быть программы, которые намеренно устанавливают пользователи. Возможно, они не вредоносные, однако не исключено, что они могут нарушить политику безопасности. Такая система, не соответствующая требованиям, может нарушить работу программного обеспечения компании или сетевых сервисов. Пользователи должны незамедлительно удалить программное обеспечение, которое не было одобрено.
Управление исправлениями
Исправления - это обновления кода, выпускаемые производителями для предотвращения атак новых обнаруженных вирусов и червей. Периодически производители объединяют исправления и обновления в комплексные приложения обновления, которые называются пакетами обновления. Многие разрушительные атаки вирусов могли быть менее серьезными, если бы больше пользователей загрузили и установили последний пакет обновления.
Операционная система Windows регулярно проверяет наличие на веб-сайте Центра обновления Windows высокоприоритетных обновлений для защиты компьютера от последних угроз безопасности. В их число входят обновления безопасности, критические обновления и пакеты обновления. В зависимости от выбранного варианта Windows автоматически загружает и устанавливает высокоприоритетные обновления, необходимые компьютеру, или уведомляет о наличии таких обновлений.
В некоторых организациях выполняют проверку исправлений перед развертыванием. В таком случае вместо предлагаемого поставщиком онлайн-сервиса обновлений может использоваться локальная система управления исправлениями. Автоматизированная система установки обновлений обеспечивает следующие преимущества.
• Администраторы получают возможность одобрять или отклонять обновления.
• Администраторы могут запланировать обновление систем на определенную дату.
• Администраторам доступны отчеты об обновлениях, необходимых в каждой системе.
• Для загрузки исправлений не требуется подключение каждого компьютера к сервису поставщика. Вместо этого система получает обновления с локального сервера.
• Пользователи не могут отключить или проигнорировать обновления.
Автоматическая система установки исправлений позволяет администраторам более точно управлять настройками процесса.
Межсетевые экраны (брандмауэры) и системы обнаружения вторжений на основе хоста
Решение на основе хоста - это программное приложение, которое запускается на локальном хост-компьютере с целью его защиты. Работая вместе с операционной системой, это ПО помогает предотвратить атаки.
Межсетевые экраны (брандмауэры) на основе хоста
Программный межсетевой экран (брандмауэр) - это программа, запускаемая на компьютере для разрешения или запрета обмена трафиком между компьютером и другими компьютерами, к которым он подключен. Программный межсетевой экран применяет набор правил для передачи данных с помощью проверки и фильтрации пакетов данных. Межсетевой экран Windows - это пример программного межсетевого экрана. Он устанавливается по умолчанию вместе с операционной системой Windows.
Пользователь может управлять данными, отправляемыми и получаемыми компьютером, открывая или блокируя отдельные порты. Межсетевые экраны блокируют входящие и исходящие сетевые соединения, кроме случаев, когда для открытия и закрытия портов, необходимых для работы этой программы, определены исключения.
На рис. 1 пользователь выбирает правила для входящих подключений, чтобы настроить разрешенные типы трафика. Настройка правил для входящих подключений поможет защитить систему от нежелательного трафика.
Системы обнаружения вторжений на базе хостов
Система обнаружения вторжений на базе хостов (HIDS) - это программное обеспечение, которое запускается на хост-компьютере, отслеживающем подозрительные действия. Это ПО должно быть установлено на каждом сервере или в компьютере пользователя, которые необходимо защитить (см. рис. 2). HIDS отслеживает системные вызовы и доступ к файловой системе, проверяя, что эти запросы не являются результатом вредоносной активности. Это ПО может также отслеживать параметры реестра системы. Реестр содержит информацию о конфигурации компьютера.
HIDS хранит все данные журнала локально. Это ресурсоемкий процесс, который может повлиять на производительность системы. HIDS не может отслеживать сетевой трафик, который не достиг данной системы, но контролирует операционную систему и критически важные системные процессы данного компьютера.
Защита коммуникаций
При подключении к локальной сети обмен данными и файлами между компьютерами не выходит за пределы этой сетевой инфраструктуры. Данные остаются защищенными, так как находятся за пределами других сетевых инфраструктур и Интернета. Для обмена данными и предоставления общего доступа к ресурсам через небезопасные сетевые инфраструктуры используется виртуальная частная сеть (VPN).
Виртуальная частная сеть (VPN) представляет собой частную сеть, которая обеспечивает подключение удаленных узлов или пользователей друг к другу через общественную сеть, такую как Интернет. Самый распространенный тип сетей VPN обеспечивает доступ к корпоративной частной сети. Сеть VPN использует выделенные безопасные подключения, маршрутизируемые через Интернет между внутренней корпоративной сетью и удаленными пользователями. При подключении к корпоративной частной сетевой инфраструктуре пользователи становятся частью этой сетевой инфраструктуры и имеют доступ ко всем сервисам и ресурсам, как если бы они физически подключились к корпоративной локальной сети.
Для получения удаленного доступа пользователи должны установить на свои компьютеры клиенты VPN, чтобы создать безопасное подключение к корпоративной частной сети. Программа-клиент VPN шифрует данные перед отправкой их через Интернет на шлюз VPN корпоративной частной сети. Шлюзы VPN создают подключения VPN, управляют ими и контролируют их. Подключения VPN называются также VPN-туннелями.
Операционные системы обычно включают клиент VPN, который настраивается пользователем для подключения к сети VPN.
WEP
Одним из важнейших компонентов современной вычислительной среды являются мобильные устройства. В настоящее время большую часть устройств, подключенных к сетевой инфраструктуре, составляют ноутбуки, планшеты, смартфоны и другие беспроводные устройства. Мобильные устройства передают данные с помощью радиосигналов, которые может получить любое устройство с совместимой антенной. В компьютерной отрасли разработан ряд стандартов, продуктов и устройств для обеспечения безопасности беспроводной или мобильной связи. Эти стандарты шифруют информацию, передаваемую мобильными устройствами по радиоканалам.
Протокол защиты данных WEP - один из первых широко используемых стандартов обеспечения безопасности сетей Wi-Fi. Стандарт WEP предоставляет такие средства защиты, как аутентификация и шифрование. Стандарт WEP устарел, но многие устройства по-прежнему поддерживают его для обеспечения обратной совместимости. WEP стал стандартом для сетей Wi-Fi в 1999 году, когда беспроводная связь только начала распространяться. Несмотря на дополнения к стандарту и увеличение размера ключа, в стандарте WEP были многочисленные недостатки. Киберпреступники могут взломать WEP-пароль за считанные минуты, используя широкодоступное программное обеспечение. Несмотря на улучшения, WEP остается весьма уязвимым. Пользователям следует обновить системы, в которых применяется этот протокол.
WPA/WPA2
Следующим важным усовершенствованием в обеспечении безопасности беспроводных сетей стало внедрение протоколов WPA и WPA2. Технология WPA (Wi-Fi Protected Access, защищенный доступ Wi-Fi) сменила стандарт WEP в компьютерной индустрии из-за его слабых мест. Наиболее распространенной конфигурацией WPA является WPA-PSK (Pre-Shared Key). В WPA используется 256-битный ключ. Это значительное усовершенствование по сравнению с 64- и 128-битными ключами, которые применяются в системе WEP.
Стандарт WPA позволил повысить безопасность в нескольких аспектах. Во-первых, он обеспечил проверку целостности сообщений (message integrity checks, MIC), которая позволяет выявить перехват и изменение данных, передаваемых между беспроводным клиентским устройством и точкой беспроводного доступа. Еще одним улучшением защиты ключей стал протокол Temporal Key Integrity Protocol (TKIP). Стандарт TKIP позволил улучшить обработку, защиту и смену ключей шифрования. Симметричный алгоритм блочного шифрования (AES) пришел на смену стандарту TKIP, обеспечив лучшее управления ключами и более надежное шифрование.
Как и его предшественник WEP, стандарт WPA содержал несколько широко известных уязвимостей. В результате в 2006 году появился стандарт WPA2. Одним из наиболее значительных улучшений безопасности в WPA2 по сравнению с WPA стало обязательное использование алгоритмов шифрования AES и введение протокола блочного шифрования с кодом аутентификации сообщения и режимом сцепления блоков и счетчика (CCMP) в качестве замены протокола TKIP.
Взаимная аутентификация
Одной из существенных уязвимостей беспроводных сетей является использование неавторизованных точек доступа. Точки доступа - это устройства, которые взаимодействуют с беспроводными устройствами и подключают их к проводной сети. Любое устройство, которое имеет беспроводной приемопередатчик и аппаратный интерфейс для подключения к сетевой инфраструктуре, потенциально может выступать в качестве неавторизованной точки доступа. Она может имитировать авторизованную точку доступа. В результате беспроводные устройства в беспроводной сети могут установить связь с неавторизованной точкой доступа вместо авторизованной.
Неавторизованная точка может получать запросы на подключение, копировать данные в запросе и пересылать их на авторизованную точку сетевого доступа. Такой тип атаки через посредника очень сложно выявить. Он используется для кражи учетных данных для входа и передаваемых данных. Чтобы предотвратить появление неавторизованных точек доступа, в компьютерной отрасли разработана взаимная аутентификация. Взаимная или двусторонняя аутентификация - это процесс или технология, согласно которой каждый из участников информационного обмена доказывает другому участнику свою идентичность. В беспроводной сетевой среде клиент проводит аутентификацию точки доступа, а точка доступа - аутентификацию клиента. Это усовершенствование позволило клиентам выявлять неавторизованные точки доступа перед подключением к ним.
Разграничение доступа к файлам
Разрешения - это набор правил, которые можно настроить для ограничения доступа отдельного пользователя или группы пользователей к папке или файлу. В таблице на рисунке перечислены разрешения, которые можно задать для файлов и папок.
Принцип предоставления минимальных прав
Пользователи должны иметь доступ только к необходимым ресурсам в компьютерной системе или сетевой инфраструктуре. Например, для них следует отменить доступ ко всем файлам на сервере, если им требуется доступ лишь к определенной папке. Возможно, предоставить пользователям доступ ко всему диску проще, но для повышения безопасности лучше ограничить доступ только папкой, необходимой для выполнения их работы. Это называется принципом минимальных прав. Ограничение доступа к ресурсам также предотвращает доступ к ним вредоносных программ в случае заражения компьютера пользователя.
Ограничение разрешений пользователей
Если администратор запрещает доступ пользователя или группы пользователей к совместно используемому сетевому ресурсу, этот запрет становится приоритетным по отношению ко всем прочим настройкам разрешений. Например, если администратор запрещает какому-либо пользователю доступ к совместно используемому сетевому ресурсу, этот ресурс будет недоступен для пользователя, даже если он является администратором или входит в группу администраторов. В локальной политике безопасности должны быть указаны ресурсы и типы доступа, разрешенные для каждого пользователя и группы.
При изменении разрешений на доступ к папке есть возможность применить такие же разрешения для всех вложенных папок. Это называется наследованием разрешений. Наследование разрешений - это простой способ быстрого применения разрешений к множеству файлов и папок. Если установлены разрешения для родительской папки, то файлы и папки, созданные внутри нее, наследуют ее разрешения.
Кроме того, наследование разрешений определяется размещением данных и выполняемыми с ними действиями.
• Если данные перемещаются в пределах одного и того же тома, то к ним применяются исходные разрешения.
• Если данные копируются в пределах одного и того же тома, то наследуются новые разрешения.
• Если данные перемещаются в другой том, то наследуются новые разрешения.
• Если данные копируются в другой том, то наследуются новые разрешения.
Шифрование файлов
Шифрование используется для защиты данных. При шифровании данные преобразуются с помощью сложного алгоритма так, чтобы их нельзя было считать. Специальный ключ преобразовывает нечитабельную информацию в доступные для чтения данные. Программные продукты выполняют шифрование файлов, папок и даже целых дисков.
Шифрующая файловая система (Encrypting File System, EFS) - это функция Windows для шифрования данных. Реализация системы EFS в Windows связывает ее непосредственно с определенной учетной записью пользователя. Только пользователь, зашифровавший данные, сможет получить доступ к зашифрованным файлам и папкам.
Для шифрования всех данных на жестком диске в системе Windows также можно использовать функцию BitLocker. Для использования функции BitLocker на жестком диске должны быть хотя бы два тома.
Перед использованием BitLocker необходимо включить модуль Trusted Platform Module (TPM) в BIOS. TPM - это специальная микросхема на материнской плате. В модуле TPM сохраняется информация, относящаяся к системе размещения, такая как ключи шифрования, цифровые сертификаты и пароли. Приложения, использующие шифрование, такие как BitLocker, обращаются к микросхеме TPM. Чтобы просмотреть подробные сведения о TPM, щелкните ссылку «Администрирование TPM», как показано на рисунке.
BitLocker To Go обеспечивает шифрование съемных дисков. Для использования BitLocker To Go не требуется микросхема TPM, однако шифрование выполняется тем же способом, а для доступа к зашифрованным данным требуется пароль.
Резервное копирование данных и систем
Организация может потерять данные в результате кражи, сбоя оборудования или аварии. Именно поэтому крайне важно регулярно выполнять резервное копирование данных.
Резервное копирование данных сохраняет копию информации с компьютера на внешнем или съемном носителе. Оператор помещает эти носители на хранение в надежном месте. Резервное копирование данных - один из самых эффективных способов защиты данных от потери. В случае сбоя аппаратного обеспечения компьютера пользователь может восстановить данные из резервной копии после возобновления работы системы.
Политика безопасности организации должна включать резервное копирование данных. Пользователи должны регулярно выполнять резервное копирование данных. Резервные копии данных обычно хранятся отдельно, чтобы защитить носитель с резервными копиями на случай, если что-либо произойдет в основном помещении.
Ниже приведены некоторые практические рекомендации по резервному копированию данных.
• Периодичность - операция резервного копирования может занять очень много времени. Иногда проще выполнять полное резервное копирование ежемесячно или еженедельно, а затем многократно создавать частичные резервные копии данных, измененных с момента полного резервного копирования. Однако, чем больше частичных копий, тем больше затрачивается времени на восстановление данных.
• Хранение - чтобы обеспечить дополнительную безопасность, необходимо переносить резервные копии в автономное хранилище ежедневно, еженедельно или ежемесячно в соответствии с политикой безопасности.
• Безопасность - необходимо использовать пароли для защиты резервных копий. Перед восстановлением данных с носителя резервных копий оператор должен ввести пароль.
• Проверка - всегда проверяйте резервные копии для обеспечения целостности данных.
Фильтрация и блокирование содержимого
Программы контроля содержимого ограничивают доступ пользователя к определенному содержимому через веб-браузер. Программы контроля содержимого могут блокировать сайты, которые содержат материалы определенного вида, например порнографию, провокационные материалы религиозной или политической тематики. Родители могут установить такую программу на компьютере, который используется ребенком. Библиотеки и школы также внедряют такое программное обеспечение для предотвращения доступа к недопустимому содержимому.
Администратор может использовать следующие виды фильтров.
• Фильтры на основе браузера с использованием сторонних расширений браузера.
• Фильтры электронной почты с использованием фильтра на стороне клиента или сервера.
• Фильтры на стороне клиента, установленные на определенном компьютере.
• Фильтры содержимого на основе маршрутизатора, которые блокируют трафик на входе в сеть.
• Фильтрация содержимого на основе аппаратно-программного комплекса аналогична фильтрации на основе маршрутизатора.
• Облачные службы фильтрации содержимого.
Поисковые системы, такие как Google, предоставляют возможность включения фильтра безопасности, который исключает неуместные ссылки из результатов поиска.
Клонирование жесткого диска и утилита Deep Freeze
Существует множество приложений сторонних производителей, которые позволяют вернуть систему в состояние по умолчанию. Это позволяет администратору защитить операционную систему и файлы конфигурации системы.
При клонировании диска содержимое жесткого диска компьютера копируется в файл образа. Например, администратор создает необходимые разделы в системе, форматирует раздел, а затем устанавливает операционную систему. Выполняется установка всех необходимых приложений и настройка аппаратного обеспечения. Затем администратор использует ПО клонирования диска для создания файла образа. Клонированный образ можно использовать в следующих целях.
• Для автоматической очистки системы и восстановления чистого эталонного образа.
• Для развертывания новых систем в пределах организации.
• В качестве полной резервной копии системы.
Нажмите здесь, чтобы сравнить ПО для клонирования диска.
Утилита Deep Freeze позволяет «заморозить» часть жесткого диска. Когда пользователь перезагружает систему, «замороженные» настройки восстанавливаются. Любые изменения, внесенные пользователем, не сохраняются в системе, поэтому все установленные приложения или сохраненные файлы утрачиваются после перезагрузки системы.
Если администратору необходимо изменить конфигурацию системы, сначала необходимо «разморозить» защищенный раздел, отключив утилиту Deep Freeze. После внесения изменений следует снова включить программу. Администратор может настроить перезапуск Deep Freeze после выхода пользователя из системы, завершения работы в заданное время или после периода неактивности.
Эти продукты не обеспечивают защиту в режиме реального времени. Система остается уязвимой, пока не будет перезапущена пользователем или запланированным событием. Однако система, зараженная вредоносным кодом, полностью очищается после перезагрузки.
Защитные кабели и замки
Существует несколько способов организовать физическую защиту оборудования компьютера:
• Используйте кабельные замки для оборудования, как показано на рис. 1.
• Закрывайте телекоммуникационные помещения.
• Используйте защитные кожухи для оборудования.
Многие портативные устройства и дорогостоящие компьютерные мониторы снабжены специальными встроенными стальными разъемами для кабельных замков.
Наиболее распространены стандартные дверные замки с ключом. Они не блокируются автоматически при закрытии двери. Кроме того, если вставить между замком и дверным косяком тонкую пластиковую карту, например кредитную, дверь может открыться. Дверные замки в коммерческих зданиях отличаются от дверных замков в жилых помещениях. Для обеспечения дополнительной безопасности используют ригельные замки. Любой замок, открываемый ключом, оказывается уязвимым в случае потери, кражи ключа или создания его дубликата.
Чтобы открыть дверь с шифрозамком (рис. 2), пользователь должен нажать кнопки в определенной последовательности. Шифрозамок можно запрограммировать. Это значит, что пользовательский код может работать, к примеру, только в определенные дни или в определенные промежутки времени. Например, шифрозамок может разрешать пользователю Боб доступ в серверную только с 7 утра до 6 вечера с понедельника по пятницу. Шифрозамки также могут вести учет времени открытия двери и использованного кода.
Блокировка компьютера после бездействия
Сотрудник уходит на перерыв и оставляет свой компьютер. Если сотрудник не предпринимает никаких действий по защите рабочей станции, вся информация в этой системе уязвима к несанкционированному доступу. Организация может предпринять следующие меры для предотвращения несанкционированного доступа.
Время ожидания и блокировка экрана
Когда сотрудники покидают свое рабочее место, они не всегда выходят из системы и из своей учетной записи. Поэтому в целях безопасности рекомендуется настроить таймер ожидания, после срабатывания которого пользователь автоматически выходит из системы, а экран блокируется. Чтобы разблокировать экран, пользователю необходимо снова войти в систему.
Время входа в систему
В некоторых ситуациях в организации может быть разрешен вход сотрудников в систему только в определенное время, например с 7:00 до 18:00. Система блокирует попытки входа за рамками указанного интервала времени.
Реестр устройств и радиометки
Технологии радиочастотной идентификации (Radio frequency identification, RFID) используют радиоволны для выявления и отслеживания объектов. В RFID-системах для инвентаризации помечаются все средства, которые организация хочет отслеживать. Метки содержат встроенную схему, которая подключается к антенне. Радиометки имеют небольшой размер и потребляют очень мало энергии, поэтому для хранения информации и обмена ею с устройством считывания аккумулятор не нужен. RFID позволяет автоматизировать отслеживание ресурсов, а также блокировать, разблокировать и настраивать электронные устройства по беспроводной сети.
RFID-системы функционируют на разных частотах. Низкочастотные системы имеют более узкий диапазон и более низкую скорость считывания данных, но менее чувствительны к радиопомехам, вызываемым жидкостями и металлами, находящимися поблизости. Системы, работающие на более высоких скоростях передачи данных, позволяют считывать данные быстрее и на большем расстоянии, однако более чувствительны к радиопомехам.
Управление удаленным доступом
Понятие удаленного доступа относится к любому сочетанию аппаратного и программного обеспечения, которое предоставляет пользователям доступ к внутренней сети извне.
В операционной системе Windows технические специалисты могут использовать утилиты удаленного помощника и удаленного рабочего стола для восстановления и обновления компьютеров. Как показано на рисунке, удаленный рабочий стол позволяет получить доступ к компьютеру и управлять им дистанционно. Удаленный помощник позволяет техническим специалистам дистанционно помогать заказчикам решать проблемы. С его помощью заказчик также может в режиме реального времени просматривать на экране действия по восстановлению или обновлению.
Функция удаленного рабочего стола по умолчанию отключена после установки Windows. Включение этой функции открывает порт 3389 и может привести к уязвимости, если пользователю не нужен этот сервис.
Telnet, SSH и SCP
Протокол Secure shell (SSH) - это протокол, который обеспечивает безопасное (зашифрованное) соединение для управления удаленным устройством. Для безопасного управления удаленными подключениями Cisco рекомендует заменить протокол Telnet протоколом SSH. Telnet является более ранним протоколом, использующим небезопасную незашифрованную передачу как данных, так и идентификационной информации (имя пользователя и пароль) между взаимодействующими устройствами. SSH обеспечивает защиту удаленных подключений, предоставляя надежное шифрование данных аутентификации устройства (имя пользователя и пароль), а также данных, передаваемых между устройствами. SSH использует TCP-порт 22. Telnet использует TCP-порт 23.
На рис. 1 киберпреступники отслеживают пакеты, используя Wireshark. На рис. 2 киберпреступники перехватывают имя и пароль администратора из незашифрованного сеанса Telnet.
На рис. 3 показан просмотр сеанса SSH программой Wireshark. Киберпреступники отслеживают сеанс, используя IP-адрес устройства администратора, однако на рис. 4 имя пользователя и пароль в сеансе зашифрованы.
Протокол SCP обеспечивает надежную передачу компьютерных файлов между двумя удаленными системами. Протокол SCP использует SSH для передачи данных (в том числе элемента аутентификации), обеспечивая таким образом подлинность и конфиденциальность данных в процессе передачи.
Защита портов и сервисов
Киберпреступники используют сервисы, запущенные в системе, потому что знают, что на большинстве устройств выполняется больше сервисов или программ, чем необходимо. Администратор должен проанализировать каждый сервис, чтобы убедиться в его необходимости и провести оценку риска. Удалите все ненужные службы.
Отключение неиспользуемых портов - это простой способ защиты сети от несанкционированного доступа, используемый многими администраторами. К примеру, если коммутатор имеет 24 порта и при этом используются три подключения Fast Ethernet, рекомендуется отключить 21 неиспользуемый порт.
Процесс включения и выключения портов может занять много времени, но он повышает безопасность сети и стоит потраченных усилий.
Привилегированные учетные записи
Киберпреступники стараются получить доступ к привилегированным учетным записям, поскольку они имеют наиболее полные права в организации. Учетные данные привилегированных учетных записей позволяют получить доступ к системам; такие учетные записи дают неограниченный доступ с полными правами. С помощью таких учетных записей администраторы могут развертывать операционные системы, приложения и сетевые устройства и управлять ими. На рисунке показаны типы привилегированных учетных записей.
- Учетные записи локальных администраторов (обеспечивает неограниченный доступ локальным устройствам – станции, сервера, базы данных и т.д.)
- Учетные записи привилегированных пользователей (учетные данные с административными привилегиями в одной или нескольких системах)
- Доменные административные учетные записи (предоставляют привилегированный доступ к рабочим станциям и серверам в домене Windows, обеспечивает расширенный доступ во всей сети, может использоваться для изменения членства в домене)
- учетные записи приложений (используются для доступа к базам данных, выполнения сценариев или предоставляют доступ к другим приложениям, имеют широкий доступ к корпоративной информации)
- Служебные учетные записи (используются приложениями и сервисами для взаимодействия с операционной системой, имеют привилегии доменного администратора)
- Учетные записи для чрезвычайных ситуаций (обеспечивают привилегированным пользователям административный доступ к защищенным системам)
Необходимо внедрить в организации следующие лучшие практики для защиты привилегированных учетных записей.
• Следует выявить и сократить до минимума количество привилегированных учетных записей.
• Необходимо применять принцип минимальных прав.
• Следует организовать процесс отзыва прав в случае увольнения сотрудников или изменения занимаемой должности.
• Не должно быть общих учетных записей с паролями, срок действия которых неограничен.
• Необходимо обеспечить надежное хранение паролей.
• Не следует использовать общие данные учетной записи для нескольких администраторов.
• Пароли привилегированных учетных записей должны автоматически изменяться каждые 30 или 60 дней.
• Следует вести запись привилегированных сеансов.
• Необходимо внедрить процесс изменения встроенных паролей для учетных записей сценариев и сервисов.
• Все действия пользователя должны регистрироваться.
• В случае необычного поведения должны создаваться оповещения.
• Следует отключить неактивные привилегированные учетные записи.
• Для административного доступа необходимо использовать многофакторную аутентификацию.
• Между конечными пользователями и особо важными ресурсами следует развернуть шлюз для ограничения воздействия вредоносного ПО на сетевую инфраструктуру.
Блокировка привилегированных учетных записей имеет очень большое значение для безопасности организации. Процесс обеспечения безопасности таких учетных записей должен быть непрерывным. Необходимо регулярно оценивать этот процесс и вносить в него необходимые изменения для повышения безопасности.
Групповые политики
В большинстве сетевых инфраструктур, использующих компьютеры Windows, администратор настраивает Active Directory с доменами на сервере Windows Server. Компьютеры Windows входят в домен. Администратор настраивает политики безопасности домена, которые применяется ко всем компьютерам, входящим в домен. После входа пользователя в систему Windows автоматически применяются политики учетных записей.
Если компьютер не входит в домен Active Directory, пользователь настраивает политики с помощью утилиты локальной политики безопасности Windows. Во всех версиях Windows, за исключением Home Edition, введите secpol.msc в командной строке, чтобы открыть средство локальной политики безопасности.
Администратор настраивает политики учетных записей пользователей, например политики паролей и блокировки в меню «Политики учетных записей» > «Политики паролей». Если заданы параметры, как показано на рис. 1, пользователи должны менять свои пароли каждые 90 дней и использовать новый пароль по крайней мере 1 (один) день. Пароли должны содержать восемь (8) символов, в том числе три из следующих четырех категорий: прописные буквы, строчные буквы, цифры и специальных символы. И наконец, пользователь может использовать пароль повторно после 24 уникальных паролей.
Политика блокировки учетной записи: доступ к компьютеру приостанавливается на указанное время в случае многократного неверного ввода учетных данных. Например, в конфигурации, приведенной на рис. 2, пользователю предоставляется только пять попыток ввести правильные имя пользователя и пароль. После пяти неудачных попыток учетная запись пользователя блокируется на 30 минут. По истечении этих 30 минут счетчик попыток сбрасывается, после чего пользователь может снова попытаться войти в систему.
Дополнительные параметры безопасности доступны в папке Локальные политики. Политика аудита создает файл журнала безопасности, который используется для отслеживания событий, перечисленных на рис. 3.
Включение журналов и оповещений
В этом журнале регистрируются все события в хронологическом порядке. Файл журнала состоит из записей журнала, и каждая такая запись содержит всю информацию, относящуюся к конкретному событию. Роль журналов, относящихся к компьютерной безопасности, возросла.
Например, в журнале аудита отслеживаются попытки аутентификации пользователя, а журнал доступа содержит все подробности о запросах конкретных файлов в системе. Системные журналы мониторинга позволяют определить, как была осуществлена атака и были ли успешными развернутые средства защиты.
С увеличением количества файлов журналов, создаваемых для целей компьютерной безопасности, следует внедрить процесс управления журналами. Управление журналами определяет процесс создания, передачи, хранения, анализа и удаления данных журналов безопасности.
Журналы операционной системы
Журналы операционной системы регистрируют события, которые происходят в результате действий, выполняемых операционной системой. В число системных событий входят следующие.
• Клиентские запросы и ответы сервера, например, в ходе успешной аутентификации пользователя.
• Информация об использовании системы, включая количество и размер транзакций в течение определенного периода времени.
Журналы приложений безопасности
Организации используют сетевое или системное программное обеспечение для информационной безопасности с целью выявления вредоносных действий. Это программное обеспечение создает журнал безопасности, содержащий данные о компьютерной безопасности. Журналы помогают проводить аудит и выявлять тенденции и долгосрочные проблемы. Кроме того, с помощью журналов организация может предоставлять документацию, подтверждающую соблюдение законов и нормативных требований.
Питание
Критически важный элемент защиты информационных систем - электропитание и потребляемая мощность. Непрерывное электропитание имеет огромное значение для современных крупных центров хранения данных и серверных центров. Ниже приведены некоторые общие правила построения эффективных систем электроснабжения.
• Для центров обработки данных необходимо использовать блок питания, отдельный от остальной части здания.
• Разнесенные источники питания: две или более линии от двух или более электрических подстанций.
• Стабилизация электропитания.
• Часто необходимо использовать системы резервного питания.
• Для корректного выключения систем должны быть доступны источники бесперебойного питания (ИБП).
При разработке систем электропитания необходимо предусмотреть защиту от различных инцидентов.
Избыточная мощность
• Резкий скачок: мгновенное высокое напряжение
• Выброс напряжения: длительная подача высокого напряжения
Потеря питания
• Прерывание: кратковременная потеря питания
• Отключение: полная потеря питания
Ухудшение параметров электропитания
• Провал напряжения: мгновенное снижение напряжения
• Кратковременное исчезновение напряжения: более длительное снижение напряжения
• Пусковой ток: первоначальный скачок мощности
Отопление, вентиляция и кондиционирование воздуха (ОВК, HVAC)
Системы ОВК имеют важнейшее значение для безопасности людей и информационных систем на объектах организации. При проектировании современных центров ИТ эти системы играют значительную роль в обеспечении общей безопасности. Системы отопления, вентиляции и кондиционирования воздуха управляют условиями окружающей среды (температурой, влажностью, воздушным потоком и фильтрацией воздуха). Их установку следует учитывать при планировании, и они должны управляться вместе с другими компонентами центра обработки данных, такими как вычислительное аппаратное обеспечение, кабельные системы, системы хранения данных, противопожарной и физической защиты, а также источники питания. Почти все физические компьютерные аппаратные устройства имеют определенные требования к условиям эксплуатации, включая допустимую температуру и влажность. Условия эксплуатации указываются в спецификации продукта или в руководстве по планированию физических условий. Очень важно придерживаться этих требований, чтобы предотвратить сбои и продлить срок эксплуатации ИТ-систем. Коммерческие системы ОВК и другие системы управления зданием теперь подключаются к Интернету, что обеспечивает возможность их удаленного мониторинга и управления. Недавние события показали, что такие системы (часто их называют «интеллектуальными системами») также создают значительные риски для безопасности.
Один из этих рисков заключается в том, что лица, получающие доступ к системе и управляющие ею, работают на стороннего поставщика или подрядчика. Поскольку техническим специалистам по ОВК необходимо быстро находить информацию, важные данные, как правило, хранятся в нескольких местах, что делает их доступными для еще большего числа людей. В результате доступ к учетным данным для системы ОВК может получить множество людей, включая различных сотрудников подрядчика. Сбои в работе этих систем могут представлять значительную опасность для информационной безопасности организации.
Контроль аппаратных средств
Мониторинг аппаратного обеспечения часто применяется на крупных серверных фермах. Серверная ферма - это объект, в котором размещены сотни или тысячи серверов, используемых компаниями. У компании Google по всему миру есть много серверных ферм для обеспечения оптимального обслуживания клиентов. Даже небольшие компании создают локальные серверные фермы для размещения растущего количества серверов, необходимых для ведения бизнеса. Системы мониторинга аппаратного обеспечения контролируют состояние оборудования и помогают минимизировать время простоя серверов и приложений. В современных системах мониторинга аппаратного обеспечения используются порты USB и сетевые порты для передачи сведений о температуре центрального процессора, статусе блока питания, скорости вращения и температуре вентилятора, состоянии памяти, дисковом пространстве и статусе сетевой карты. Системы мониторинга аппаратного обеспечения позволяют контролировать сотни или тысячи систем с одного терминала. По мере роста числа серверных ферм системы мониторинга аппаратного обеспечения стали базовыми средствами противодействия угрозам безопасности.
Оперативные центры
Центр управления сетью (Network Operation Center, NOC) представляет собой одну или несколько площадок, предоставляющих администраторам инструменты подробного мониторинга состояния сетевой инфраструктуры организации. Центр управления сетью выступает в качестве базы для поиска и устранения неполадок сетевой инфраструктуры, мониторинга производительности, распределения и обновления программного обеспечения, управления коммуникацией и устройствами.
Центр мониторинга и управления безопасностью (Security Operation Center, SOC) - это специализированная площадка, обеспечивающая мониторинг, оценку и защиту информационных систем организации, таких как веб-сайты, приложения, базы данных, центры обработки данных, сетевые инфраструктуры, серверы и пользовательские системы. В центре SOC работает группа аналитиков безопасности, которые занимаются выявлением и анализом событий кибербезопасности, реагированием на них и составлением отчетов, а также предотвращением инцидентов информационной безопасности.
Для обработки событий используется иерархическая многоуровневая структура. Первый уровень - уровень обработки событий. Все события, которые не удается обработать, эскалируются на второй уровень. Сотрудники на уровне 2 тщательно изучают инцидент, пытаясь его устранить. Если это не удается сделать, они передают событие на уровень 3, экспертам в определенной области.
Для оценки общей эффективности работы оперативного центра в организациях проводятся практические учения и упражнения. Упражнение выполняется командой в смоделированной на компьютере среде по сценарию, имитирующему события, с целью оценки эффективности работы центра. Более эффективным средством является моделирование полноценного вторжения без предупреждения. Оно включает использование атакующей «красной команды», независимой группы лиц, которые создают угрозу для процессов организации с целью оценки эффективности защиты информации. Например, красная команда должна атаковать важную бизнес-систему, а ее действия включают разведку и организацию атаки, эскалацию полномочий и удаленный доступ.
Коммутаторы, маршрутизаторы и сетевые устройства
Сетевые устройства поставляются либо без паролей, либо с паролями по умолчанию. Перед подключением устройства к сетевой инфраструктуре необходимо изменить пароль по умолчанию. Задокументируйте и внесите в журнал изменения в сетевых устройствах. Наконец, изучите все журналы конфигурации.
В следующих разделах рассматриваются некоторые меры, которые администратор может предпринять для защиты различных сетевых устройств.
Коммутаторы
Сетевые коммутаторы составляют ядро современной сетевой инфраструктуры передачи данных. Главную угрозу сетевым коммутаторам представляют кража, хакерская деятельность и удаленный доступ, атаки с использованием таких сетевых протоколов, как ARP/STP, или атаки, нацеленные на снижение производительности и доступности. Средства контроля и меры защиты от угроз для сетевых коммутаторов включают улучшение физической безопасности, дополнительные настройки и установку соответствующих обновлений и исправлений по мере необходимости. Еще одним эффективным средством контроля является обеспечение безопасности портов. Администратор должен обеспечить защиту всех портов (интерфейсов) коммутатора перед его развертыванием для эксплуатации в рабочих условиях. Один из способов защиты портов - использование функции безопасности портов (функция Port Security). Данная функция ограничивает количество допустимых МАС-адресов на одном порту. Коммутатор разрешает доступ к устройствам с одобренными MAC-адресами и отклоняет все прочие MAC-адреса.
Сети VLAN
Сети VLAN позволяют группировать устройства в пределах локальной сети и на отдельных коммутаторах. В виртуальных локальных сетях логические соединения используются вместо физических. Отдельные порты коммутатора можно назначить конкретным сетям VLAN. Другие порты можно использовать для физического межсоединения коммутаторов друг с другом и обеспечения возможности передачи между ними трафика нескольких VLAN. Эти порты называются магистральными.
Например, отделу кадров необходимо защитить конфиденциальные данные. Сети VLAN позволяют администратору производить сегментацию сетевой инфраструктуры по функциям, проектным группам или областям применения, независимо от физического расположения пользователя или устройства (см. рис. 1). Устройства в пределах VLAN работают таким образом, будто находятся в собственной независимой сети, даже если делят одну общую инфраструктуру с другими VLAN. Сеть VLAN может изолировать группы, обрабатывающие конфиденциальные данные, от остальной части сетевой инфраструктуры, тем самым уменьшая вероятность утечки этих данных. Магистральные каналы обеспечивают возможность физического подключения пользователей сети VLAN отдела кадров к нескольким коммутаторам.
Есть много различных типов атак и уязвимостей сети VLAN, включая атаки на протоколы VTP. Их подробное описание не включено в данный курс. Хакеры также могут организовывать атаки на производительность и доступность сети VLAN. Стандартные меры защиты от угроз включают мониторинг изменений и производительности сети VLAN, дополнительные настройки и регулярную установку исправлений и обновлений для IOS.
Межсетевые экраны
Межсетевые экраны представляют собой аппаратные или программные решения, направленные на повышение степени безопасности сети. Межсетевой экран фильтрует неавторизованный или потенциально опасный трафик, предотвращая его проникновение в сетевую инфраструктуру (рис. 2). Простой межсетевой экран обеспечивает базовые функции фильтрации с использованием списков контроля доступа (ACL). Использование ACL-списков позволяет администраторам останавливать трафик или допускать в сеть только определенный трафик. Список контроля доступа (ACL) - это последовательный список правил разрешения или запрета, применяемых по отношению к адресам или протоколам. ACL-списки позволяют эффективно контролировать входящий и исходящий трафик сети. Межсетевые экраны сдерживают атаки на частную сеть и часто являются целью хакеров, стремящихся обойти их защиту. Главную угрозу межсетевым экранам представляют кража, хакерская деятельность и удаленный доступ, атаки на списки контроля доступа (ACL) или атаки, нацеленные на снижение производительности и доступности устройства. Меры защиты от угроз для межсетевых экранов включают улучшение физической безопасности, дополнительные настройки, удаленный защищенный доступ и аутентификацию, а также установку соответствующих обновлений и исправлений по мере необходимости.
Маршрутизаторы
Маршрутизаторы обеспечивают доступ в Интернет и обмен данными между различными сетевыми инфраструктурами. Маршрутизаторы обмениваются друг с другом информацией для определения наилучшего пути доставки трафика в различные сетевые инфраструктуры. Для принятия решения о пересылке пакетов маршрутизаторы используют протоколы маршрутизации. В них также могут быть интегрированы другие сервисы, например функциональность коммутаторов и межсетевых экранов. В результате маршрутизаторы становятся первоочередной целью. Главную угрозу сетевым маршрутизаторам представляют кража, хакерская деятельность и удаленный доступ, атаки с использованием таких протоколов маршрутизации, как RIP/OSPF, или атаки, нацеленные на снижение производительности и доступности. Меры защиты от угроз для сетевых маршрутизаторов включают улучшение физической безопасности, дополнительные настройки, использование защиты протоколов маршрутизации с использованием аутентификации и установку соответствующих обновлений и исправлений по мере необходимости.
Беспроводные и мобильные устройства
Беспроводные сети и мобильные устройства стали преобладающим типом устройств в большинстве современных сетевых инфраструктур. Они обеспечивают мобильность и удобство, но в то же время сопряжены с огромным количеством уязвимостей. Эти уязвимости включают в себя кражу, хакерскую деятельность и несанкционированный удаленный доступ, анализ трафика, атаки через посредника (MitM) или атаки, направленные на снижение производительности и доступности. Лучший способ защиты беспроводных сетей - использование аутентификации и шифрования. В первоначальном стандарте для беспроводных сетей, 801.11, было представлено два типа аутентификации, как показано на рисунке.
• Аутентификация открытой системы - любое беспроводное устройство может подключиться к беспроводной сети. Этот способ используется в тех случаях, когда не требуется обеспечивать информационную безопасность.
• Аутентификация с помощью общего ключа - предоставляет механизмы аутентификации и шифрования данных, передаваемых между беспроводным клиентом и точкой доступа или беспроводным маршрутизатором.
В сетях WLAN доступны три варианта аутентификации с помощью общего ключа.
• Эквивалент секретности проводной сети (Wired Equivalent Privacy, WEP) - спецификация обеспечения безопасности WLAN, определенная в первоначальном стандарте 802.11. Однако при передаче пакетов ключ не меняется, поэтому его достаточно легко взломать.
• Защищенный доступ к Wi-Fi (Wi-Fi Protected Access, WPA) - этот стандарт использует WEP, но обеспечивает защиту данных при помощи гораздо более надежного протокола шифрования с использованием временных ключей (TKIP). Алгоритм TKIP меняет ключ для каждого пакета, поэтому его гораздо сложнее взломать.
• IEEE 802.11i/WPA2 - стандарт IEEE 802.11i является в настоящее время отраслевым стандартом безопасности беспроводных локальных сетей. В 802.11i и WPA2 используется симметричный алгоритм блочного шифрования (AES), который на данный момент является самым устойчивым.
С 2006 года все устройства, на которые нанесен логотип Wi-Fi Certified, сертифицированы для использования WPA2. Поэтому современные беспроводные сети всегда должны использовать стандарт 802.11i/WPA2. Другие меры защиты от угроз включают улучшение физической безопасности и регулярную установку обновлений и исправлений.
Сетевые сервисы и сервисы маршрутизации
Киберпреступники атакуют устройства, используя уязвимые сетевые сервисы, в том числе в качестве компонента атаки. Чтобы проверить наличие небезопасных сетевых сервисов, используйте сканер портов для поиска открытых портов на устройстве. Сканер портов - это приложение, которое проверяет открытые порты на устройстве, отправляя сообщение на каждый из портов и ожидая ответа. В ответе указывается, каким образом используется порт. Киберпреступники используют сканер портов для аналогичной цели. Для безопасности сетевых сервисов только необходимые порты должны быть доступны для использования и обнаружения.
Протокол динамической конфигурации хоста (DHCP)
DHCP использует сервер для автоматического назначения IP-адресов и других параметров конфигурации сетевым устройствам. По сути, устройство получает от сервера DHCP разрешение на использование сетевой инфраструктуры. Хакеры могут атаковать серверы DHCP, чтобы запретить доступ к устройствам в сети. На рис. 1 показан контрольный список безопасности для сервера DHCP.
Система доменных имен (DNS)
DNS преобразует универсальный указатель ресурса URL или адрес веб-сайта (http://www.cisco.com) в IP-адрес сайта. Когда пользователь вводит веб-адрес в адресной строке, DNS-серверы преобразуют его в фактический IP-адрес назначения. Киберпреступники могут атаковать DNS-серверы, чтобы запретить доступ к сетевым ресурсам или перенаправить трафик на мошеннические веб-сайты. Нажмите рис. 2, чтобы просмотреть контрольный список безопасности для DNS-сервера. Для защиты от атак используйте безопасные сервисы и аутентификацию между DNS-серверами.
Протокол ICMP
Сетевые устройства используют протокол ICMP для отправки сообщений об ошибках, например, если запрашиваемый сервис недоступен или хосту не удалось связаться с маршрутизатором. Команда ping - это сетевая утилита, которая использует протокол ICMP для проверки соединения с хостом в сетевой инфраструктуре. Утилита Ping отправляетэхо-запрос ICMP на другой хост и ожидает ответа. Киберпреступники могут вмешиваться в использование ICMP для злонамеренных целей (см. рис. 3). В DoS-атаках используется протокол ICMP, поэтому во многих сетевых инфраструктурах для предотвращения таких атак применяется фильтрация определенных запросов ICMP.
Протокол маршрутной информации (RIP)
RIP ограничивает количество транзитных участков в сетевой инфраструктуре от исходного устройства до места назначения. RIP допускает не более 15 транзитных участков. RIP - протокол маршрутизации, который используется для обмена данными маршрутизации, в том числе о сетевых инфраструктурах, доступных для каждого маршрутизатора, и расстоянии до этих инфраструктур. RIP рассчитывает оптимальный маршрут на основе числа переходов. На рис. 4 перечислены уязвимости протокола RIP и средства защиты от атак на него. В качестве цели хакеры могут выбрать маршрутизаторы и протокол RIP. Атаки на сервисы маршрутизации могут повлиять на производительность и доступность. Некоторые атаки могут даже привести к перенаправлению трафика. Для защиты сервисов маршрутизации, например протокола RIP, используйте безопасные сервисы с аутентификацией и устанавливайте исправления и обновления системы.
NTP (Network Time Protocol)
При работе с сетями необходимо следить за правильной настройкой времени. Точные метки времени необходимы для отслеживания событий в сетевой инфраструктуре, например нарушений системы безопасности. Синхронизация часов имеет решающее значение для правильной интерпретации событий в файлах данных системного журнала, равно как и для цифровых сертификатов.
Протокол NTP синхронизирует часы компьютерных систем с использованием сетевой инфраструктуры. NTP позволяет сетевым устройствам синхронизировать свои настройки времени с сервером NTP. На рис. 5 перечислены различные способы безопасной синхронизации в сетевой инфраструктуре. Киберпреступники атакуют серверы времени, чтобы нарушить безопасный обмен данными на основе цифровых сертификатов и скрыть информацию об атаке, например ее точное время.
Оборудование VoIP
Оборудование VoIP использует сети, например Интернет, для звонков по телефону. Для реализации технологии VoIP требуется Интернет-подключение и телефон. Доступно несколько вариантов.
• Традиционный телефон с адаптером (адаптер выступает в роли аппаратного интерфейса между традиционным аналоговым телефоном и цифровой линией VoIP).
• Телефон с поддержкой VoIP.
• Программное обеспечение VoIP, установленное на компьютере.
В большинстве используемых частными лицами служб VoIP телефонные звонки осуществляются через Интернет. Однако во многих организациях используют частные сети, поскольку они обеспечивают более надежную защиту и качество сервиса. Безопасность VoIP напрямую зависит от безопасности сети. Киберпреступники нацеливаются на эти системы, чтобы получить доступ к бесплатным телефонным сервисам, подслушивать телефонные звонки или повлиять на производительность и доступность.
Для защиты VoIP применяются следующие средства.
• Шифрование пакетов голосовых сообщений для защиты от прослушивания.
• Использование SSH для защиты шлюзов и коммутаторов.
• Изменение всех паролей, установленных по умолчанию.
• Использование системы обнаружения вторжений для выявления атак, таких как ARP-poisoning.
• Использование строгой аутентификации для минимизации риска подмены регистрации (киберпреступники перенаправляют на себя все входящие звонки жертве), имитации прокси (киберпреступники хитростью заставляют жертву обращаться к созданному ими прокси-серверу) и перехвата звонка (звонок перехватывается и перенаправляется, прежде чем достигнет места назначения).
• Использование межсетевых экранов, которые распознают VoIP, для мониторинга потоков и фильтрации аномальных сигналов.
Нарушение работы сетевой инфраструктуры также ведет к нарушению голосовой связи.
Камеры
IP-камера отправляет и получает данные через локальную сеть или Интернет. Пользователь может дистанционно просматривать видео в реальном времени с помощью веб-браузера на разнообразных устройствах, в том числе компьютерных системах, ноутбуках, планшетах и смартфонах.
Камеры представлены разнообразными моделями, в том числе традиционными камерами видеонаблюдения. Также есть веб-камеры, спрятанные в радиочасах, книгах или DVD-проигрывателях.
Веб-камеры передают цифровое видео через сеть данных. Камера подключается непосредственно к сетевой инфраструктуре и имеет все необходимое для передачи видео по сети. На рисунке перечислены лучшие практики для систем видеонаблюдения.
Оборудование для видео-конференц-связи
Оборудование для видео-конференц-связи предоставляет возможность одновременного подключения из двух или более площадок с помощью телекоммуникационных технологий. В этих технологиях применяются новые стандарты видео высокой четкости. Различные продукты, например Cisco TelePresence, позволяют группе людей на одной площадке организовать конференц-связь с группой людей, находящихся в других местах, в режиме реального времени. Видео-конференц-связь теперь используется в рамках обычной повседневной работы в таких отраслях, как здравоохранение. Врачи могут осматривать пациентов и консультироваться по обнаруженным симптомам с экспертами для определения возможных методов лечения.
Многие небольшие клиники нанимают фельдшеров, которые могут в реальном времени связываться с врачами по видео-конференц-связи, чтобы запланировать визит или проконсультироваться в чрезвычайной ситуации. Многие производственные организации используют телеконференции, чтобы помочь инженерам и техническим специалистам при выполнении сложных операций или обслуживании. Оборудование для видео-конференц-связи может быть очень дорогостоящим и представлять интерес для воров и киберпреступников. Нажмите здесь, чтобы просмотреть видео о возможностях систем видео-конференц-связи. Киберпреступники нацеливаются на эти системы, чтобы подслушивать видеозвонки или повлиять на их производительность и доступность.
Сетевые датчики и датчики Интернета вещей
Одним из самых быстрорастущих направлений информационных технологий является использование интеллектуальных устройств и датчиков. В компьютерной отрасли этот сектор известен под названием Интернет вещей (IoT). Предприятия и клиенты используют устройства IoT для автоматизации процессов, мониторинга условий окружающей среды и оповещения пользователей, если эти условия становятся неблагоприятными. Большинство устройств IoT подключаются к сети с помощью беспроводных технологий. В число таких устройств входят камеры, дверные замки, бесконтактные датчики, осветительные приборы и другие типы датчиков, которые используются для сбора информации о среде или о состоянии какого-либо устройства. Некоторые изготовители устройств используют Интернет вещей для информирования пользователей о необходимости замены деталей, сбое компонентов или о расходе чего-либо.
Предприятия используют эти устройства для отслеживания оборудования, транспортных средств и персонала. Устройства IoT часто содержат геопространственные датчики. Пользователь может в глобальном масштабе с учетом географических координат отслеживать и контролировать параметры окружающей среды, такие как температура, влажность и освещение. Отрасль IoT представляет огромную проблему для специалистов по информационной безопасности, поскольку многие устройства IoT собирают и передают конфиденциальную информацию. Киберпреступники нацеливаются на эти системы, чтобы перехватывать данные или влиять на производительность и доступность.
Ограждения и преграды
Физические препятствия - это первое, что приходит на ум, когда думаешь о физической безопасности. Это самый внешний уровень системы безопасности, и эти решения являются наиболее заметными для сторонних пользователей. Система безопасности периметра обычно состоит из следующих компонентов.
• Система ограждения по периметру.
• Ворота в системе защиты объекта.
• Блокираторы движения (короткие столбики, препятствующие заезду транспортных средств, как показано на рис. 2).
• Барьер на въезде транспортных средств.
• Помещение для охраны.
Ограждение - это барьер, ограничивающий защищенные области и обозначающий границы собственности. Все барьеры должны соответствовать конкретным проектным требованиям и заводским спецификациям. Области с высоким уровнем безопасности часто требуют дополнительных средств охраны на верхней части ограждения, например использования колючей проволоки или колючей ленты. При проектировании систем ограждения для периметра применяются следующие правила.
• Ограждение высотой 1 метр (3–4 фута) будет сдерживать только случайных прохожих.
• Ограждение высотой 2 метра (6–7 футов) является слишком высоким для случайных прохожих.
• Ограждение высотой 2,5 метра (8 футов) временно задержит лицо, намеренно проникающее на территорию.
Колючая проволока наверху обеспечивает дополнительный сдерживающий фактор и может задержать нарушителя, серьезно поранив его. Тем не менее злоумышленники могут использовать одеяло или матрас для уменьшения этой угрозы. Местные правила могут ограничивать допустимые типы системы ограждения.
Необходимо регулярно проводить обслуживание ограждений. Животные могут делать подкопы под забором, а земля может вымываться. В результате ограждение станет неустойчивым, обеспечивая легкий доступ для нарушителя. Регулярно проверяйте системы ограждения. Запрещается парковка транспортных средств вблизи ограждения. Автомобиль, припаркованный возле ограждения, может помочь нарушителю забраться на ограждение или повредить его. Нажмите здесь, чтобы ознакомиться с дополнительными рекомендациями по возведению ограждений.
Технологии биометрической идентификации
Биометрия - это автоматизированные способы распознавания человека, основанные на физиологических или поведенческих характеристиках. Биометрические системы аутентификации используют такие методы, как аутентификация по геометрии или термограмме лица, отпечаткам пальцев, геометрии руки, радужной оболочке и сетчатке глаза, рукописному почерку и голосу. Биометрические технологии могут стать основой для хорошо защищенных решений идентификации и удостоверения личности. Увеличение числа нарушений безопасности и мошенничества с транзакциями привело к росту популярности биометрических систем. Биометрия позволяет обеспечить конфиденциальность финансовых транзакций и личных данных. Например, на смартфонах Apple используется технология считывания отпечатков пальцев. Отпечаток пальца пользователя разблокирует устройство и предоставляет доступ к различным приложениям, таким как интернет-банкинг или платежные приложения.
При сравнении биометрических систем следует учесть несколько важных факторов: точность, скорость и пропускная способность, приемлемость для пользователей, уникальность биометрического органа или действия, устойчивость к фальсификации, надежность, требования к хранению данных, время регистрации и удобство процедуры сканирования. Наиболее важным фактором является точность. Точность выражается в типах и серьезности последствий ошибок.
Первый класс - это ошибки первого рода или ошибочные отказы. Они происходят, когда в доступе отказывается зарегистрированному авторизованному пользователю. С точки зрения разграничения доступа, если требуется препятствовать доступу злоумышленников, ошибочный отказ является наименее важной ошибкой. Однако во многих биометрических приложениях ошибочные отказы могут оказывать весьма негативное воздействие на бизнес. Например, в банке или розничном магазине необходимо проверить подлинность личности клиента и его баланс. Ошибочный отказ означает, что транзакция или продажа не будут выполнены, и заказчик будет расстроен. Большинство банков и розничных магазинов готовы допустить небольшое число пропусков запрещенных событий, если число ошибочных отказов минимально.
Процент пропуска запрещенных событий указывает долю признания системой незарегистрированных пользователей или мошенников в качестве легитимных пользователей. Ошибочное признание относится к ошибкам второго рода. Ошибки второго рода предоставляют доступ злоумышленникам, поэтому обычно считаются наиболее серьезными ошибками в биометрической системе контроля доступа.
Для измерения точности биометрической аутентификации наиболее широко используется уровень пересечения вероятности ошибок (CER). CER представляет равенство частот появления ошибочных отказов и ошибочных признаний (см. рис.).
Пропуска и журналы доступа
Пропуск позволяет человеку получить доступ к области с автоматизированными точками входа. Точкой входа может быть дверь, турникет, ворота или другое препятствие. В пропусках используются различные технологии, такие как магнитная полоса, штрихкод или технологии биометрической идентификации.
Устройство считывания карт считывает номер, содержащийся на пропуске. Система отправляет этот номер на компьютер, который принимает решение о доступе на основе предоставленных учетных данных. Система регистрирует транзакцию, и впоследствии можно обратиться к этой информации. В отчетах указывается личность вошедшего, время и точка входа.
Охрана и сопровождение
Все средства физического разграничения доступа, включая системы сдерживания и обнаружения, в конечном итоге полагаются на персонал, который должен вмешаться и остановить фактическую атаку или вторжение. В хорошо защищенных объектах размещения информационных систем доступ к особо важным зонам организации регулируется охранниками. Преимущество найма охранников состоит в том, что они адаптируются лучше, чем автоматизированные системы. Охранники могут изучить и отличить множество различных условий и ситуаций и принимать решения на месте. Это лучшее решение для разграничения доступа, когда ситуация требует мгновенных и надлежащих мер реагирования. Однако это верно не всегда. В системе, основанной на работе охранников, есть многочисленные недостатки, включая расходы и невозможность контролировать и регистрировать большой объем трафика. Использование охранников также вносит фактор человеческой ошибки.
Видеонаблюдение и наблюдение с использованием электронных средств
Видеонаблюдение и наблюдение с использованием электронных средств может дополнить, а в некоторых случаях и заменить охранников. Преимущества видеонаблюдения или наблюдения с использованием электронных средств заключаются в возможности отслеживать зоны даже в отсутствие охранников или персонала, возможности записи и ведения истории видео и данных наблюдения в течение длительного времени и возможности использования технологий обнаружения движения и уведомления.
Кроме того, можно обеспечить более высокую точность фиксации событий даже после того, как они произошли. Другим большим преимуществом этого типа обеспечения безопасности является возможность вести наблюдение с точек, труднодоступных для охранников. Кроме того, для контроля всего периметра объекта использование камер может оказаться гораздо более экономичным. В хорошо защищенной среде следует разместить системы видеонаблюдения или наблюдения с использованием электронных средств на всех входах, выходах, погрузочных площадках, лестничных клетках и местах сбора мусора. В большинстве случаев эти системы дополняют охранников.
RFID и беспроводное наблюдение
Отслеживание расположения важных ресурсов информационной системы и управление ими является ключевой задачей для большинства организаций. Рост числа мобильных устройств и устройств IoT усложнил ее еще больше. Длительный поиск необходимого оборудования может вести к дорогостоящим задержкам или простоям. Использование инвентаризационных меток технологии радиочастотной идентификации (Radio frequency identification, RFID) позволяет существенно облегчить работу персонала службы безопасности. Можно разместить устройства считывания RFID-меток в дверных рамах защищенных помещений так, что они будут незаметны для людей.
Преимущество инвентаризационных RFID-меток заключается в возможности отслеживать любой ресурс, который физически покидает защищенную область. Новые системы инвентаризационных RFID-меток могут одновременно считывать несколько меток. Для работы RFID-систем не требует прямая видимость. Еще одним преимуществом RFID является способность считывать незаметные метки. В отличие от штрихкодов и меток, считываемых при помощи человека, которые должны быть физически расположены в легкодоступном месте, при сканировании радиометки не обязательно должны быть видимыми. Например, чтобы физически обнаружить и просмотреть штрихкод или визуальную метку на корпусе ПК под столом, сотрудник должен будет забраться под стол. Использование радиометки позволит сотруднику провести сканирование метки, даже не видя ее.