СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
РТ-ИБ
13.11.2024
#ИБ#ИИ#Инфра#Облака

Понятие локальной сети

Понятие локальной сети

изображение: dall-e

Локальная Вычислительная Сеть (ЛВС, LAN — Local Area Network) — это объединение вычислительных устройств в единую информационную сеть с использованием средств проводной или беспроводной связи.

Термин «Локальная сеть» подразумевает территориальную (локальную) ограниченность LAN. Обычно это один офис или здание, реже – несколько близко расположенных зданий.

ЛВС необходима для того, чтобы объединить компьютеры в единую рабочую систему, с помощью которой можно совместно использовать необходимые ресурсы (сетевой принтер, сканер, файловое хранилище, доступ в Интернет и др.). Локальная сеть легко масштабируется и настраивается под текущие потребности компании.

Вместе с удобством ЛВС идут и некоторые риски безопасности. Если все компьютеры находятся в одной сети и в ней не настроен соответствующий уровень безопасности, злоумышленнику не составит труда получить к ней доступ и в дальнейшем скомпрометировать всю инфраструктуру организации.

Риски ИБ в корпоративных сетях

Некорректная настройка политик, устаревшее оборудование, низкая квалификация сотрудников — эти и другие факторы потенциально могут повлечь за собой риски ИБ. Можно выделить следующие главные риски:

  1. Утечка конфиденциальной информации
  2. Потеря или недоступность критичных данных
  3. Распространение компрометирующих сведений
  4. Уменьшение доверия к компании

Существует несколько стратегий управления рисками. Лучше всего не допускать реализации риска, а для этого следует заниматься постройкой процессов ИБ в своей инфраструктуре.

Архитектура сети

Безопасность начинается с безопасной архитектуры. Существует множество рекомендаций по настройке безопасной инфраструктуры в организации. Можно выделить следующие лучшие практики:

  1. Сегментация сети

Главной рекомендацией считается грамотная сегментация сети и разграничение доступа. Популярной является трехуровневая структура:

  • На первом уровне будет находиться DMZ-зона, в которой будут находиться публичные сервисы. Здесь также должны находиться межсетевые экраны, балансировщики нагрузки, веб-сервера для обработки запросов и пограничные маршрутизаторы
  • Второй уровень — сегмент приложений (APP). Здесь данные передаются веб-приложениям, которые будут выполнять основную логику сервиса
  • Третий уровень — сегмент баз данных (DB). Здесь могут находиться различные БД, с которыми взаимодействуют приложения. Это могут быть каталоги LDAP, хранилища крипто-ключей и паролей, базы данных SQL

2. Мониторинг сети

Для осуществления защиты информации нужен непрерывный процесс мониторинга событий ИБ. Для этого компания может воспользоваться услугами SOC (организовать свой или купить внешний). Аналитики SOC могут оперативно реагировать на возникающие угрозы и принимать меры против распространения ВПО по сети или компрометации инфраструктуры злоумышленниками. Важно отметить, что для детектирования продвинутых атак у аналитиков SOC должны быть соответствующие компетенции, т.к. зачастую логов с одного СЗИ может быть недостаточно для вынесения вердикта, а автоматических правил корреляции для новых угроз может на быть.

3. Установка СЗИ

Мониторинг сети невозможен без правильного выбора оборудования. На конечных устройствах должны быть установлены DLP-системы, антивирусы и EDR. Внутри подсетей должны быть установлены сетевые экраны IDS/IPS системы, системы NTA. На периметре сети должны располагаться NGFW, Email Security, WAF и пр.

Таким образом можно сформировать модель базовой настройки сети:

В данном примере идёт разделение сети на уровни DMZ, приложений и данных. Между уровнями сети стоят сетевые экраны, на конечных точках установлены АВЗ и EDR.

Средства защиты информации в локальных сетях

На рынке существует множество решений СЗИ. Некоторые возникли в последнее время, другие существуют на рынке уже десятки лет. Некоторые решения могут дублировать функционал других или же отличаться только названием. В данном разделе будут рассмотрены только основные СЗИ, и будет сделан акцент на задачах, которые они решают.

Межсетевые экраны нового поколения (NGFW)

Межсетевые экраны служат первой линией защиты, фильтруя входящий и исходящий трафик на основе заданных правил безопасности. NGFW интегрирован с системами IDS/IPS. Основное его отличие от FW — это то, что NGFW фильтрует трафик на уровне приложений. Тем самым злоумышленник не сможет, например, направить вредоносный трафик на другой порт и обойти защиту Firewall.

Anti-DDoS

Средства защиты от DDoS-атак предназначены для обнаружения и смягчения распределенных атак, направленных на исчерпание ресурсов сети. Они могут применяться для защиты критически важных сервисов и приложений, особенно тех, которые доступны из Интернета. Эти решения могут включать в себя фильтрацию трафика и распределение нагрузки.

Sandbox-решения

Sandbox-решения изолируют подозрительное содержимое, например, вложения в электронных письмах, в безопасной среде для анализа. Это позволяет выявить вредоносное ПО до его запуска в локальной сети. Такие решения полезны для защиты от фишинга и других атак через электронную почту.

Сетевые шлюзы

Сетевые шлюзы служат точками доступа между различными сетями и могут выполнять функции фильтрации трафика, шифрования и управления доступом. Они могут использоваться для обеспечения безопасной связи между локальной сетью и внешними ресурсами, а также для контроля доступа к Интернет-ресурсам.

Средства АВЗ

Антивирусные программы необходимы для обнаружения и удаления вредоносного ПО на устройствах в локальной сети. Они могут работать в режиме реального времени, сканируя файлы и процессы. Работают АВЗ по сигнатурному анализу, они хороши в обнаружении известных угроз, но зачастую не могут обнаружить продвинутые атаки злоумышленников.

NTA (Network Traffic Analysis)

NTA-системы выявляют атаки с помощью комбинации способов: машинное обучение, поведенческий анализ, правила детектирования, индикаторы компрометации. Они позволяют обнаруживать атаки как на ранних стадиях, так и когда злоумышленник уже проник в инфраструктуру. Также NTA-системы анализируют трафик в инфраструктуре организации, где зачастую действия злоумышленника могут остаться незамеченными.

DLP (Data Loss Prevention)

Системы предотвращения утечек данных помогают контролировать и защищать конфиденциальную информацию, предотвращая ее несанкционированный доступ и утечку. DLP-решения могут анализировать трафик и действия пользователей, чтобы предотвратить утечку данных через различные каналы (например, электронная почта, USB-накопители).

IDS/IPS системы

Системы обнаружения и предотвращения вторжений (IDS/IPS) отслеживают сетевой трафик на предмет подозрительной активности и могут реагировать на потенциальные угрозы. IDS просто уведомляет администраторов о проблемах, тогда как IPS может блокировать трафик в реальном времени.

EDR (Endpoint Detection and Response)

EDR (Endpoint Detection and Response) — это категория решений, предназначенных для обнаружения и анализа вредоносной активности на конечных устройствах, таких как рабочие станции, серверы и устройства Интернета вещей. В отличие от антивирусных программ, которые сосредоточены на борьбе с распространенными и стандартными угрозами, EDR-решения направлены на выявление целенаправленных атак и сложных угроз. Тем не менее, EDR не может полностью заменить антивирусные решения, так как обе технологии решают разные задачи в области ИБ.

Каждое из этих средств защиты информации играет важную роль в обеспечении безопасности локальных сетей и может быть адаптировано в зависимости от специфики организации и ее потребностей.

Актуальные угрозы ИБ

Рассмотрим основные угрозы ИБ, а также меры, которые могут защитить от этих угроз:

DDoS-атаки (Distributed Denial of Service)

Атака, при которой злоумышленники пытаются перегрузить сетевые ресурсы, отправляя огромное количество запросов с множества источников. Это может привести к недоступности сервисов и ресурсов в локальной сети.

Защищают:

  • NGFW
  • Anti-DDoS
  • WAF
  • Облачные решения

Man-in-the-Middle (MitM)

Злоумышленник перехватывает и изменяет коммуникации между двумя сторонами без их ведома. Это может произойти, например, через незащищенные Wi-Fi-сети или с помощью подмены маршрутизаторов.

Защищают:

  • NGFW
  • IDS/IPS
  • VPN
  • Сильные алгоритмы шифрования

Spoofing-атаки

Спуфинг — это атаки, в которых злоумышленник выдаёт себя за того, кем он не является. Подмена может осуществляться через электронную почту, IP, DNS, и т.д. Например, суть атаки ARP-spoofing в том, что злоумышленник отправляет ложные ARP-сообщения в локальную сеть, чтобы связать свой MAC-адрес с IP-адресом другого устройства. Подобные атаки позволяют перехватывать трафик и потенциально выполнять вредоносный код.

Защищают:

  • NGFW
  • NTA
  • Port Security

Сетевые сканирования и подслушивание (Sniffing)

Злоумышленники могут использовать инструменты для сканирования сети и перехвата данных, передаваемых по незащищенным протоколам, таким как FTP или HTTP.

Защищают:

  • NGFW
  • IDS/IPS
  • NTA

Вредоносные программы (Malware)

Вредоносное ПО, такое как вирусы, черви и трояны, может быть внедрено в локальную сеть через зараженные устройства или электронные письма. Они могут повредить данные, украсть информацию или создать боты для дальнейших атак.

Защищают:

  • Средства АВЗ
  • Межсетевые экраны

Фишинг

Злоумышленники могут попытаться обманом получить доступ к учетным записям пользователей через поддельные веб-сайты или электронные письма, что может привести к компрометации учетных данных и доступу к локальной сети.

Защищают:

  • Средства АВЗ
  • Решения типа Sandbox
  • Обучение сотрудников

Эксплуатация уязвимостей

Злоумышленники могут использовать известные уязвимости в программном обеспечении или операционных системах для получения несанкционированного доступа к системам в локальной сети.

Защищают:

  • EDR
  • NTA

Утечки данных

Сотрудники могут случайно или намеренно передавать конфиденциальные данные внешним лицам, например, отправляя информацию по электронной почте или загружая ее в облачные хранилища.

Защищают:

  • DLP
  • Мониторинг и аудит доступа

Устаревшее ПО

Использование устаревшего программного обеспечения и операционных систем может привести к уязвимостям, которые злоумышленники могут использовать для атак на локальную сеть.

Защищают:

  • Системы аудита активов
  • Системы управления уязвимостями

Заключение

В данной статье были рассмотрены основные средства защиты информации, показаны риски ИБ и решения для управления этими рисками. В заключение успешное обнаружение и предотвращение скрытых угроз в локальных сетях требует комплексного подхода, который включает в себя как технологические решения, так и организационные меры. Важно понимать, что ИБ — это не результат, а непрерывный процесс.

РТ-ИБ
Автор: РТ-ИБ
Единый центр компетенций в сфере технологического обеспечения корпоративной системы информационной безопасности Государственной корпорации «Ростех» и ее организаций. АО «РТ-Информационная безопасность» — организация прямого управления Государственной корпорации «Ростех». Мы выделяем особую значимость вопросу защиты информационных систем критической, в том числе промышленной инфраструктуры и реализуем задачи в соответствии с указаниями руководства страны в рамках обновлённой Концепции национальной безопасности Российской Федерации.
Комментарии: