Безопасность корпоративного интранета: разграничение доступа, защита от XSS и предотвращение утечек конфиденциальной информации.

Обеспечение безопасности корпоративного интранета (внутренней ИТ-инфраструктуры) является комплексной задачей. В современном ландшафте угроз информационной безопасности интранет часто становится основной целью атак злоумышленников, так как именно в пределах его периметра обрабатывается защищаемая информация. Для обеспечения безопасности интранета необходимо использовать комплексный и структурированный подход. Разберем часть таких подходов.

1. Разграничение (управление) доступом (решения класса IAM и PAM).

Самая частая проблема безопасности — избыточные права доступа у пользователей, которыми могут воспользоваться злоумышленники при компрометации этих учетных записей.

Необходимо пользоваться следующими принципами, подходами и средствами.

Принцип наименьших привилегий (PoLP). У пользователя должны быть доступы только к тем данным и информационным системам, которые необходимы ему для выполнения прямых обязанностей.

Многофакторная аутентификация (MFA). Необходима не только для внешнего доступа (VPN-подключения), но и для доступа к критически важным информационным системам (ERP, AD, CRM, 1С и т. д.) внутри ИТ-инфраструктуры компании.

Управление привилегированными учетными записями (решения класса PAM). Учетные записи администраторов (домена, БД, сетевого оборудования) не должны использоваться для повседневной работы. Необходимо внедрить системы хранения паролей (Vault) и регулярную смену паролей.

2. Сегментация сети (Microsegmentation).

Традиционный подход «толстый периметр и плоская сеть внутри» не поможет, если злоумышленник проник в ИТ-инфраструктуру (например, через скомпрометированное автоматизированное рабочее место).

Микросегментация направлена на разделение сети на изолированные сегменты (DMZ, сегмент бухгалтерии, сегмент разработки, сегмент IoT/принтеров).

Использование технологии Zero Trust Network Access (ZTNA) направлено на запрет трафика «по умолчанию». Внутри ИТ-инфраструктуры сервер баз данных не должен принимать запросы от любого IP-адреса, а только от конкретных серверов приложений с корректной процедурой аутентификации.

3. Защита конечных точек (решения класса EDR и Hardening).

ИТ-инфраструктура состоит из автоматизированных рабочих мест и серверов. Если устройство скомпрометировано, то сеть становится уязвимой.

Использование EDR (Endpoint Detection and Response). Дополнительно к классическому антивирусному программному обеспечению необходимо использовать агенты, которые могут отслеживать поведенческие аномалии (например, попытка запуска скриптов PowerShell для сбора учетных данных).

Контроль USB и периферии. Использование строгой политики в отношении подключения внешних носителей информации, чтобы предотвратить утечку данных или занос в ИТ-инфраструктуру шифровальщиков (Ransomware), маскирующихся под «флешку с презентацией».

4. Мониторинг инцидентов ИБ и внедрение SOC (Security Operations Center).

Использование систем класса SIEM (Security Information and Event Management), предназначенных для централизованного сбора журналов событий безопасности: служб каталогов (аутентификации), прокси-серверов, межсетевых экранов, АРМ работников.

Аномалии поведения. Система должна обнаруживать несвойственные действия, например попытку входа в информационные системы ночью, создание учетной записи в домене, массовое копирование файлов с файлового сервера (признак эксфильтрации данных).

5. Безопасность web-приложений (решения класса WAF).

Если часть ИТ-инфраструктуры доступна через web-интерфейс (корпоративный портал, Битрикс, SharePoint, собственные разработанные решения), необходимо использование внутреннего WAF (Web Application Firewall). Информационные системы и приложения должны быть защищены от внутреннего нарушителя, а именно от атак типа SQL-инъекции или XSS, так как угроза может исходить от скомпрометированной учетной записи коллеги.

Аутентификация сервисов (mTLS). В микросервисной архитектуре необходимо внедрить взаимную TLS-аутентификацию, чтобы поддельный сервис не мог «легитимно» получать данные.

6. Физическая безопасность сети.

Протокол серии 802.1X (NAC — Network Access Control). Заключается в том, что любое устройство, подключенное к розетке в офисе (или к сети Wi-Fi), должно проходить аутентификацию (сертификат, учетные данные). Если в розетку подключен неизвестный ноутбук или маршрутизатор злоумышленника, то порт коммутатора должен автоматически блокироваться.

Защита коммутационного оборудования. Административный доступ к коммутаторам и маршрутизаторам должен осуществляться по защищенным протоколам (SSH) с выделенного управляющего сегмента.

7. Резервное копирование и восстановление (BDR).

Использование правила 3-2-1. Заключается в хранении трех копий данных на двух разных носителях, один из которых должен быть физически изолирован.

Immutable Backup (неизменяемые резервные копии). Современные шифровальщики нацелены на то, чтобы зашифровать или удалить резервные копии. Такие копии должны храниться в формате, не позволяющем их изменять или удалять даже при наличии прав администратора.

8. Человеческий фактор и SOC.

Обучение по ИБ и тестирование внутри компании («фишинг»). Регулярные автоматизированные рассылки, имитирующие фишинг внутри ИТ-инфраструктуры компании. Статистика показывает, что около 70% инцидентов ИБ начинаются с того, что работник компании перешел по ссылке или ввел пароль на поддельной странице внутреннего портала.

Контроль утечки данных (решения класса DLP). Data Loss Prevention — системы, контролирующие отправку данных (почта, мессенджеры, загрузка на сторонние диски) за пределы ИТ-инфраструктуры.

Защита от XSS (межсайтового скриптинга) — важный элемент обеспечения безопасности информации любого корпоративного интранета, так как внутренние порталы часто содержат формы ввода данных (комментарии, личные кабинеты, поиск) и являются целью для внутренних злоумышленников или для атак со стороны скомпрометированных автоматизированных рабочих мест работников компании.

Эффективная защита строится на сочетании принципов разработки безопасного программного обеспечения и настроек ИТ-инфраструктуры (сеть и серверы). Основные уровни защиты:

1. Строгая политика безопасности контента (CSP).

Современный стандарт защиты от XSS — использование HTTP-заголовка Content-Security-Policy (CSP), который действует по принципу «белого списка»: браузер получает инструкцию выполнять только тот JavaScript, который был явно разрешен сервером, и игнорировать любой внедренный злоумышленником код.

Использование «строгой CSP» (Strict CSP). Вместо составления сложных списков доменов необходимо использовать nonce (случайное число, генерируемое сервером для каждого запроса).

2. Экранирование (кодирование) вывода (Output Encoding).

Если злоумышленник попытается внедрить скрипт через поле ввода, на этапе отображения страницы специальные символы должны преобразовываться в HTML-сущности.

3. Валидация ввода (Input Validation).

Исходные данные от пользователя должны проверяться как на стороне клиента, так и обязательно на стороне сервера.

Принцип «белого списка» состоит в определении, какие данные допустимы для поля (например, для email — только символы, допустимые в адресе электронной почты). Все, что не соответствует правилу, должно отвергаться, а не исправляться.

Если пользователю необходимо вводить HTML (например, в редакторе текста), используйте специализированные библиотеки (например, DOMPurify), которые удаляют опасные теги и атрибуты (такие как onload, onerror, javascript:), оставляя безопасное форматирование.

4. Использование фреймворков безопасности и заголовков.

Защита cookies состоит в установлении для cookies с сессией флагов HttpOnly и Secure. HttpOnly запрещает доступ к cookie через JavaScript (даже если XSS случится, злоумышленник не сможет получить сессионную cookie). Передача данных должна осуществляться только с использованием протокола HTTPS. Заголовок X-XSS-Protection, несмотря на то что он устарел для современных браузеров, можно включить (1; mode=block) для защиты пользователей старых версий браузеров (IE, старый Safari).

5. Сетевая защита (решения класса WAF и NGFW).

Для корпоративного интранета важно использовать межсетевые экраны уровня приложений (WAF — Web Application Firewall), которые анализируют трафик.

WAF фильтрует входящие запросы, блокируя типичные XSS-паттерны (например, попытки вставить <script>, javascript: или специальные конструкции в параметры URL и формы) до того, как они дойдут до сервера приложения.

В случае обнаружения критической уязвимости в приложении, WAF позволяет установить «виртуальный патч», блокирующий попытки эксплуатации уязвимости, пока разработчики готовят официальное исправление.

6. Безопасная архитектура (Sandboxing).

Архитектура приложения играет роль в снижении рисков. Если вы используете платформы, где логика UI выполняется на сервере (как CUBA Platform или Vaadin), большая часть поверхностей для XSS-атак отсутствует, так как данные и их представление жестко контролируются на серверной стороне, а клиент получает уже готовый, безопасный HTML.

Предотвращение утечек конфиденциальной информации (Data Loss Prevention, DLP) — один из самых сложных и критических аспектов безопасности информации в корпоративном интранете. В отличие от защиты от внешних атак (XSS, «пробивы» периметра ИТ-инфраструктуры), основная угроза часто исходит изнутри: как от злоумышленников, скомпрометировавших учетную запись, так и от неосторожных или недобросовестных работников.

Необходимо выполнить:

1. Классификация данных (Data Discovery).

Произвести инвентаризацию и классификацию информации:

• Коммерческая тайна: финансовые данные, стратегии, проектные документы, ноу-хау, исходный код.
• Персональные данные (ПДн): данные работников компании, внешних субъектов.
• Служебная информация м др. виды тайн.

Можно использовать инструменты автоматического сканирования, которые сканируют файловые серверы, SharePoint, базы данных и почтовые ящики.

2. Контроль каналов передачи данных (решения класса DLP).

Классические DLP-системы анализируют трафик на границе сети и на конечных устройствах:

• Интернет-каналы: контроль web-почты, социальных сетей, мессенджеров (веб-версии), загрузка файлов на файлообменники и форумы.
• Корпоративная почта: анализ исходящих писем на предмет наличия «цифровых отпечатков» (fingerprints) конфиденциальных документов.
• Физические носители: запрет или строгий аудит подключений USB-накопителей, MTP-устройств (телефонов), Bluetooth.
• Печать: контроль факта вывода на печать документов (кто, когда, какой документ, на какой принтер).
• Контроль попыток создания снимков экранов или копирования больших объемов данных из информационных систем компании в неконтролируемые приложения.

3. Ограничения на автоматизированных рабочих местах (решения класса Endpoint DLP/EDR).

Современные решения EPP/EDR (Endpoint Protection / Detection and Response) включают в себя модули предотвращения утечек данных. Запрет на установку стороннего ПО (Shadow IT), которое может использоваться для обхода защиты. Все корпоративные ноутбуки должны иметь шифрование дисков (BitLocker, FileVault). Съемные носители должны форматироваться только в зашифрованные контейнеры.

Виртуализация и VDI. Использование инфраструктуры виртуальных рабочих столов (VDI) позволяет запретить копирование файлов с виртуального ПК на физический и наоборот.

4. Защита от инсайдеров (User Behavior Analytics).

Решения класса UBA (User Behavior Analytics) или UEBA анализируют поведение пользователей и выявляют аномалии:

Признаки подготовки к утечке: массовое копирование файлов с сетевых папок на локальный диск в нерабочее время, несвойственное количество обращений к базам данных (SELECT * FROM clients) за короткий промежуток времени, попытки открыть документы, к которым у работника нет доступа.

5. Контроль внутренних коммуникаций (Shadow IT).

Утечки происходят не только через интернет. Злоумышленники или неосторожные работники могут использовать легальные внутренние инструменты для вывода данных.

Необходимо установить запрет на создание публичных групп рассылки, в которые можно добавить внешних участников. При использовании Slack, Teams, Discord или Telegram, необходимо внедрить ботов или политики, запрещающие пересылку файлов с определенными метками вне корпоративного контура.

Мониторинг вызовов API к корпоративным системам (CRM, ERP). Утечка может происходить через легитимный бот, который был скомпрометирован или настроен злоумышленником на слив данных.

6. Организационные и правовые меры.

Использование политики ИБ, которая должна быть подписана каждым работником. В документе должна быть прописана ответственность (включая материальную и уголовную) за разглашение коммерческой тайны.

Автоматическое проставление маркеров/меток/грифов («Конфиденциально», «Коммерческая тайна») в офисном пакете при создании документов, содержащих защищаемую информацию.

Использование принципов нулевого доверия к привилегированным пользователям. Для таких пользователей должны действовать самые строгие правила: запись сессий (Video Recording), запрет на использование личных устройств, обязательное использование «администраторских» рабочих станций (Jump Servers), изолированных от интернета.

7. Мониторинг «цифрового следа» (CASB).

Для компаний, использующих облачные сервисы (SaaS) необходимо решение класса Cloud Access Security Broker (CASB). Функции CASB позволяют контролировать действия в облаке.

В заключение следует отметить, что безопасность должна быть «в меру» и не нарушать работоспособность и функционирование информационных систем. Также нужно понимать, что обеспечение безопасности корпоративного интранета — это процесс, который включает в себя технологии и людей, и что сами по себе внедряемые решения без организации полноценного процесса не помогут от инцидентов ИБ и утечек данных.

Автор: Миняев Андрей, руководитель Центра информационной безопасности Digital Design.