Защита от сетевых угроз

Защита сети от внешних угроз

Безопасность информационных систем сегодня в первую очередь связывают с защитой от внешних угроз. Под ними понимают атаки через интернет, способные нанести ПО и данным определенный ущерб. Вполне понятно, что сотрудники большинства современных предприятий имеют доступ к различным сайтам, не все из которых достаточно безопасны.

Виды внешних угроз

Различают две масштабных разновидности угроз:

Отказ в обслуживании — это внешняя угроза, приводящая к сбою в работе системы серверов организации, служащих именно для работы в сети. Как правило, она направлена на ограничение функционирования веб-сервера и почтовых служб. Сбои же возникают в процессе получения сервером очень большого числа запросов, обработать которые его вычислительная система не в состоянии. Это называется DoS-атакой: ее результатом обычно становится затруднение доступа пользователей к ресурсам.

Взломом считают внешнюю угрозу, направленную на получение контроля над серверами. Кроме того, в результате взлома злоумышленники могут проникать в локальные сети предприятий. Доступ к компьютерам дает возможность похитить любые ценные данные, хранящиеся в их памяти: пароли, информацию о сделках клиента, адреса и номера телефонов и т.д. Контроль над веб-сервером позволяет искажать страницы сайтов, размещать на них стороннюю информацию, рассылать спам или проводить атаки на любые другие компьютеры. Кроме того, целью взлома может стать получение доступа к каналам передачи данных предприятия.

Таким образом, результатом реализации внешних атак может стать:

• потеря информационных ресурсов;
• нарушение функционирования локальной сети;
• поломка ПК и серверов предприятия;
• потеря доступа к личным вычислительным ресурсам.

Для того чтобы реализовать одну из перечисленных внешних угроз, злоумышленники используют разнообразные средства. Самыми распространенными можно считать компьютерные вирусы, шифровальщики, черви и трояны. Вирусы представляют собой вредоносные программы, способные модифицировать любое ПО или интегрировать в него свои копии. Их действие проявляется в возникновении самых неожиданных эффектов в процессе работы компьютеров. Так, на экране могут появляться и исчезать посторонние символы и изображения, в работе прикладных программ наблюдаются сбои, выходит из строя операционная система. Нередко от вирусов страдают данные, хранящиеся на жестких дисках, а также системная память.

Способы борьбы с внешними угрозами

Для защиты от описанных выше внешних угроз сегодня с успехом применяются межсетевые экраны, которые иначе называют брандмауэрами. Они служат для разделения сетей на две части, в каждую из которых пропускаются пакеты с данными в соответствии с определенными алгоритмами. Таким образом, межсетевые экраны представляют собой своеобразные барьеры на границе локальных сетей с глобальной, которые позволяют устанавливать определенные настройки доступа и регулировать функционирование отдельных ПК. Если вам необходима надежная защита от внешних угроз, новейшее UTM-решение — это наилучший выбор.

Защита сетевого периметра от вирусных атак

Последние эпидемии вирусов-шифровальщиков Wannacry и Expetya, широко освещавшиеся средствами массовой информации, еще раз показали, что даже в больших корпоративных сетях существуют проблемы недостаточной готовности используемых средств защиты от информационных угроз к вирусным атакам. Еще хуже ситуация в среднем и малом бизнесе, небольших государственных и ведомственных сетях, образовательных учреждениях, бюджеты которых на информационную безопасность зачастую выделялись только на антивирусное ПО для рабочих станций, что уже недостаточно для защиты от современных угроз.

В настоящее время разработчики вредоносных программ повсеместно используют практику предварительного тестирования собственного ПО на обнаружение десятками антивирусов. Поэтому надеяться на эвристические алгоритмы антивирусов и проактивную защиту, как правило, не приходится. А сигнатуры вредоносных программ попадают в базы данных антивирусов лишь через несколько часов после начала крупномасштабных эпидемий. На зараженных же устройствах работа антивирусов к этому времени будет уже заблокирована вирусами или клиентами ботнетов.

Поэтому оценки общего ущерба от интернет-преступности для мировой экономики, которые приводит международная исследовательская компания Allianz Global Corporate & Specialty, не удивляют. За 2016 год она оценила общий ущерб от интернет-преступности для мировой экономики (включая прямые потери, недополученную прибыль и расходы на восстановление систем) в более чем 575 млрд долларов. Это около 1% мирового ВВП.

Можно выделить следующие основные угрозы информационной безопасности:

• Шифровальщики.
• Ботнеты.
• Фишинг.
• Атаки на веб-приложения.
• Уязвимости в популярных операционных системах.
• Уязвимости в прикладном ПО (офисные приложения, браузеры и др.).
• Нецелевые атаки (массовые атаки на уязвимое ПО, обнаруженное сетевыми сканерами или «черными поисковиками»).
• Таргетированные (целевые) атаки.

Эшелонированная оборона

Разумным ответом на возрастающие угрозы является усиление защиты на сетевом уровне. Защита периметра сети и сегментирование локальной сети (разделение на несколько подсетей с обязательной фильтрацией межсегментного трафика) позволяет не допустить проникновение вирусов внутрь защищенного контура или предотвратить полное заражение сети и критически важных блоков (компьютеров финансового отдела, бухгалтерии, серверов баз данных, бекапов, систем управления производственными процессами).

Эволюция средств защиты

Естественно, для борьбы с современными угрозами необходимы современные средства защиты.

Простого межсетевого экрана с возможностью блокировки портов и протоколов сетевого уровня, преобразования сетевых адресов с помощью Network Address Translation (NAT) уже недостаточно.

Вредоносное ПО легко преодолевает периметр с помощью электронной почты, через вредоносные скрипты на веб-сайтах или с помощью эксплойтов в flash, pdf, doc и файлах других форматов.

Дальнейшее же распространение внутри локальной сети вирус Wannacry осуществлял уже через уязвимости в реализации SMB-протокола в операционной системе Windows.

На смену простым роутерам и межсетевым экранам в середине 2000-х пришли многофункциональные интернет-шлюзы (Multi-Service Business Gateway (MSBG)), имеющие ряд функций безопасности (межсетевой экран, контент-фильтр и другие), но и перегруженные бизнес-функциями, такими как веб-сервер, сервисы телефонии, Jabber, FTP и файловые серверы для сетей Microsoft. Как правило, обилие модулей предоставляет злоумышленникам целый ряд дополнительных векторов атак на данный тип ПО, как DoS, так и прямых взломов, когда через уязвимость веб-сервера злоумышленник может захватить контроль над устройством, и следовательно, над всей корпоративной сетью.

Современные решения безопасности для защиты сетевого периметра сформировались в категории шлюзов безопасности (Unified Threat Management (UTM)) и межсетевых экранов нового поколения (Next-Generation Firewall (NGFW)).

Различие между UTM и NGFW — вопрос дискуссионный. Основное их отличие от устаревших типов решений — наличие систем глубокого анализа трафика (Deep Packet Inspection (DPI)). Именно такой анализ позволяет выявить угрозы в обычном типе трафика: HTTP/HTTPS-сессиях, DNS-запросах, почтовых сообщениях — и обнаружить в трафике следы вредоносной активности, анализируя ошибки сетевых протоколов, частоту и характер сетевых соединений, обращения к подозрительным или скомпрометированным ресурсам. Администратору же устройства и ПО подобного типа предоставляют широчайшие возможности по управлению трафиком: возможность контентной фильтрации интернет-ресурсов, трафика приложений (включая потенциально опасные: TOR, BitTorrent, TeamViewer, анонимайзеры и другие программы удаленного доступа), а также логируя любую подозрительную сетевую активность.

Каким должно быть решение для защиты периметра

Данный вопрос актуален не только для специалистов, выбирающих подобный тип решений для обеспечения безопасного доступа в интернет и защиты от различного типа угроз, но и для производителей решений в области сетевой безопасности.

Наш десятилетний опыт разработки решений класса UTM говорит о том, что данный тип решений должен обладать следующими свойствами:

• Решение должно быть безопасным.
  Само по себе не предоставлять злоумышленникам дополнительные векторы атак. Не организовывайте на интернет-шлюзе файловый или веб-сервер. Слишком велик риск потери данных и компрометации данного сервиса.
• Оно должно быть современным.
  Не использовать устаревшие технологии, протоколы, подходы. Ни в коем случае не используйте на серверах для выхода в интернет операционную систему Windows: она наиболее уязвима для различного вида атак — и любое ПО, основанное на данной ОС: Microsoft TMG, Traffic Inspector, Usergate Proxy&Firewall, Kerio WinRoute, Traffpro.
• Решение должно быть простым.
  С оптимальными настройками по умолчанию и невозможностью небезопасной настройки. Администратор может не иметь соответствующей квалификации, у него может не быть времени на информационную безопасность, в конце концов, у вас может не быть собственных ИТ-специалистов в штате. Решение должно предусматривать получение современных настроек системы безопасности с обновлениями ПО и автоматически поддерживать высокий уровень собственной защищенности и жесткий уровень фильтрации опасного трафика.
• Оно должно быть комплексным.
  Обеспечивать защиту от широкого спектра устройств. Использование большого количества узкоспециализированного ПО или аппаратных комплексов будет неудобным, даже если они объединены общей консолью управления.

Рекомендации по защите

Антивирусная проверка веб-трафика

Обязательно используйте потоковую проверку трафика на вирусы. Это поможет блокировать вредоносные скрипты на сайтах, зараженные файлы и другие опасные объекты еще до их попадания на пользовательские устройства.

В Ideco ICS для проверки веб-трафика используется антивирус ClamAV или антивирус Касперского, в зависимости от доступного по лицензии. Антивирусный модуль от «Лаборатории Касперского» предоставляет более высокий уровень защиты, а антивирус ClamAV доступен даже в бесплатной редакции Ideco SMB и обеспечивает базовую проверку трафика.

Блокирование анонимайзеров и TOR

Клиенты ботнетов, вирусы и шифровальщики часто пытаются обойти системы фильтрации и сохранить анонимность своих командных центров, используя для связи сеть TOR или другие анонимайзеры.

Обязательно заблокируйте эти возможности обхода систем фильтрации и анализа трафика, закрыв способы для удаленного управления злоумышленниками вредоносным ПО.

В Ideco ICS есть все возможности по блокировке данного типа трафика, описанные в соответствующей статье документации.

Контентная фильтрация трафика

Загрузка активного содержимого троянских программ, их общение с командными центрами чаще всего происходит по протоколам HTTP/HTTPS, открытым в корпоративных сетях. Поэтому фильтрация трафика, включая обязательно HTTPS, необходима для предотвращения проникновения в сеть вредоносного ПО.

Особую опасность представляют фишинговые ресурсы. Маскируясь под страницы легитимных сайтов: интернет-банков, веб-почты и других — они обманным путем пытаются завладеть учетными данными пользователя. Блокировка подобных доменов на уровне шлюза поможет пользователям сохранить свои учетные данные и предотвратит возможные финансовые и репутационные потери.

При использовании расширенного контент-фильтра в Ideco ICS мы рекомендуем заблокировать следующие категории трафика:

• Анонимайзеры (веб-прокси и другие способы обхода системы контентной фильтрации).
• Ботнеты.
• Взлом (веб-сайты, содержащие хакерское ПО и утилиты).
• Тайный сбор информации (блокирует активность adware и шпионского ПО).
• Спам (веб-сайты, рекламируемые при помощи спама, часто пытаются атаковать компьютеры пользователей).
• Центры распространения вредоносного ПО.
• Центры управления и контроля (командные центры ботнетов).
• Фишинг/мошенничество.
• Порнография (зачастую подобные ресурсы содержат опасное содержимое и вредоносные скрипты).
• Шпионское и сомнительное ПО (сайты, содержащие ссылки на шпионское ПО, клавиатурные шпионы).

Инструкция по настройке контент-фильтра в Ideco ICS доступна в документации.

Предотвращение вторжений

Один из важнейших модулей глубокого анализа трафика, который позволяет заблокировать попытки применения известных эксплойтов с помощью сигнатурного и статистического анализа трафика, также он ведёт журналирование инцидентов безопасности и различных аномалий.

Кроме того, в Ideco ICS данный модуль обладает расширенной функциональностью, включающей в себя:

• Блокировку анонимайзеров (плагинов к популярным браузерам, турбо и VPN-режимов браузеров).
• Блокировку телеметрии Windows (сбора информации об использовании ПО и пользовательской активности).
• Блокировку известных IP-адресов злоумышленников, «хакерских» хостингов и зараженных хостов по обновляемой базе IP Reputation.

Активация данного модуля существенно повышает общую безопасность сети и сервера.

Контроль приложений

Еще один модуль глубокого анализа (DPI) трафика. Администраторам рекомендуется запретить трафик приложений удаленного доступа (TeamViewer, AmmyAdmin) для тех пользователей, у которых нет необходимости в подобном ПО для рабочих целей.

Злоумышленники, применяя методы социальной инженерии (обманным путем), могут заставить пользователя предоставить доступ к хостам внутри сети с помощью подобного программного обеспечения.

Известны случаи проникновения злоумышленников в защищенные банковские сети таким, на первый взгляд, простым способом.

Фильтрация спама

Email-адреса сотрудников, как правило, можно очень легко найти на сайтах компаний, поэтому электронная почта является наиболее частым вектором атаки злоумышленников. Многоуровневая проверка почтового трафика необходима для предотвращения попадания в сеть вредоносного ПО, фишинга и спама.

Обязательно настройте на корпоративном сервере электронной почты следующие параметры фильтрации:

• Проверку SPF-записи почтового домена. Она не позволит злоумышленникам выдавать свои письма за письма из налоговой инспекции, банка и с других известных доменов, которым доверяют пользователи.
• Проверку корректности DKIM-подписи. Большинство корпоративных почтовых серверов (у сервера Ideco ICS также есть эта возможность) используют DKIM-подписи для подтверждения сервера отправителя и предотвращения использования домена в фишинговых целях.
• Используйте проверку ссылок в письмах на фишинг (в Ideco ICS такая проверка осуществляется модулем Касперский Антифишинг, входящего в состав Антиспама Касперского).
• Обязательно проверяйте вложения на вирусы на этапе приема их почтовым сервером (в Ideco ICS для этого можно использовать антивирус ClamAV и Антивирус Касперского).

В схеме фильтрации почтового трафика в Ideco ICS большая часть данных настроек включена по умолчанию и не требует конфигурирования. Как и защита почтового сервера от DoS-атак злоумышленников, грозящих недоступностью столь важного для корпоративной работы сервиса.

DNS-фильтрация

Вредоносное ПО может использовать разрешенный трафик по 53 UDP-порту для общения со своими командными центрами. Подмена же ответов DNS-сервера или прописывание собственного DNS-сервера в сетевых настройках устройства предоставляет злоумышленникам широчайшие возможности для фишинга. При этом пользователь будет заходить в браузере по адресу своего интернет-банка, но в действительности это будет очень похожая страница, созданная злоумышленниками.

На Ideco ICS включите перехват DNS-запросов в настройках DNS-сервера. И используйте безопасные фильтрующие DNS-сервера: SkyDNS или Яндекс.DNS. Это позволит блокировать обращения к доменам, созданным злоумышленниками, уже на уровне резолвинга DNS-адреса и предотвратит туннелирование и маскировку DNS-трафика вредоносным ПО.

Защита от сетевых угроз

UserGate UTM способен обнаруживать в загружаемом контенте, скриптах, файлах как известный, так и до сих пор неизвестный вредоносный код. Различные модули продукта занимаются анализом возможных угроз и их предотвращением. К ним относятся межсетевой экран, система обнаружения и предотвращения вторжений, модуль контроля приложений (на уровне L7), облачный антивирус, модуль интернет-фильтрации, использование репутационных сервисов и специальные подгружаемые черные списки. Сочетание всех этих средств, анализ кода и репутации файлов и скриптов — все это позволяет администраторам ИТ-безопасности легко и эффективно предотвращать распространение сетевых угроз до момента, когда они заражают конечные устройства.

Межсетевой экран нового поколения
(Next Generation Firewall)

Межсетевой экран нового поколения (Next Generation Firewall) фильтрует трафик, проходящий через определенные порты (например, TCP, UDP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.

Програмно-аппаратные решения UserGate UTM способны выдержать нагрузку до 40 Гб/с в режиме межсетевого экрана.

Контроль приложений (на уровне L7)

Функция контроля приложений (на уровне L7) на основе обновляемых баз сигнатур может быть использована в правилах межсетевого экрана и правилах пропускной способности. Это обеспечивает защиту от угроз, связанных с программами, имеющими доступ в интернет. Данная функции с одной стороны позволяет администраторам ограничивать использование таких приложений, как мессенджеры или торрент-клиенты, в личных целях, с другой — защитить локальную сеть от связанных с интернетом угроз.

Обнаружение и предотвращение вторжений (IDPS)

Система обнаружения и предотвращения вторжений (IDPS — Intrusion Detection and Prevention System) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности обычно происходит с помощью использования эвристических правил и анализа сигнатур известных атак. Система IDPS отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются блокирование определенных сегментов сетевого трафика, обрыв соединения и оповещение администратора сети.

Высокая отказоустойчивость

Функция высокой отказоустойчивости (High Availability) позволяет кардинально снизить риски, которые могут возникать в связи со сбоями в работе аппаратного обеспечения, на котором установлен UserGate UTM. Данная функция позволяет устанавливать систему на парных узлах и автоматически переключать между ними нагрузку в случае сбоев. В решении реализована поддержка кластеризации и поддержка отказоустойчивого кластера VRRP (active-passive).

Поддержка работы с несколькими провайдерами

UserGate UTM обеспечивает возможность переключения между доступными интернет-каналами от различных провайдеров или их совместное использование, что позволяет существенно повысить надежность и отказоустойчивость интернет-доступа.

Поддержка резервного канала

UserGate UTM обеспечивает возможность переключения между доступными интернет-каналами от различных провайдеров, что позволяет существенно повысить надежность и отказоустойчивость интернет-доступа.

Управление трафиком, балансировка канала

Функция управления трафиком позволяет расставить правильные приоритеты, чтобы нивелировать негативное влияние пользователей или приложений, потребляющих существенный трафик, на других пользователей. Все это позволяет обеспечивать гарантированное качество работы приложений, критичных для работы предприятия.

Кэширование

Кэширование ускоряет работу сервиса с помощью загрузки контента из предварительно сохраненного локального хранилища. Кэширующий прокси-сервер держит локальные копии часто запрашиваемых ресурсов, это позволяет существенно уменьшить потребляемую полосу пропускания.

Контроль доступа в интернет

UserGate UTM обеспечивает контроль работы веб-приложений и доступа в интернет с помощью создания правил, основанных на персонализированной политике. Это обеспечивает разноуровневый доступ к сетевым ресурсам и позволяет распределять ширину канала между различными приложениями и сервисами. Функция контроля доступа в интернет также позволяет автоматически применять настройки безопасности к отдельным пользователям и объектам сетевой инфраструктуры.

Поддержка концепции BYOD (Bring Your Own Device)

Возможно применение специальных правил доступа к любым устройствам, включая ноутбуки, планшеты, смартфоны, используемым пользователями. UserGate UTM позволяет устанавливать ограничения на максимальное число устройств на одного пользователя (общее и одновременно используемых), а также задать список конкретных устройств, которые пользователь может использовать для получения доступа в сеть.

Идентификация пользователей

UserGate UTM поддерживает аутентификацию пользователей и применение к пользователям правил межсетевого экранирования, контентной фильтрации, контроля приложений с поддержкой таких средств и протоколов аутентификации, как Active Directory, Kerberos, RADIUS, LDAP. Администраторы могут применить определенные политики безопасности к любому пользователю, группе пользователей или, например, ко всем неизвестным пользователям. Дополнительно к этому продукт поддерживает аутентификацию через веб-интерфейс типа Captive Portal, поддержку временных (Transient) пользователей, применение правил к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также использование агента авторизации для Windows-платформ

Мониторинг, статистика и репортинг

UserGate UTM предоставляет подробную информацию, статистику, а также дает возможности выгрузки и анализа логов. Администратор имеет возможность анализировать действия пользователей, включая информацию о посещаемых сайтах, используемых приложениях, возникших инцидентах и другие сведения. Встроенные функции журналирования и предупреждения позволяют контролировать использование Интернета, не вводя запретов и явных ограничений.

Аутентификация пользователей через SMS

UserGate UTM поддерживает работу с протоколом SMPP, что делает возможным аутентификацию гостевых пользователей через SMS. Данная возможность позволяет обеспечить соответствие требованиям запрета на анонимный Wi-Fi, изложеном в Постановлении Правительства РФ № 758 о доступе к публичному интернету.

Дешифрование SSL

Наряду с обычным нешифрованным трафиком UserGate UTM может быть настроен и для фильтрации HTTPS-трафика. При этом сервер на лету осуществляет подмену сертификата и использует полный набор методов фильтрации, включая морфологическую контент-фильтрацию.

DHCP-сервер

Поддержка DHCP (Dynamic Host Configuration Protocol протокол динамической конфигурации узла) позволяет администратору автоматизировать и управлять выдачей IP-адресов устройствам в локальной сети. Служба DHCP дает возможность администраторам контролировать и распределять IP-адреса, и автоматически выдавать IP-адрес при подключении нового устройства к локальной сети.

Удаленное администрирование

Управление UserGate UTM может осуществляться из любой точки через веб-интерфейс, это позволяет эффективно контролировать работу филиалов организации с распределенными офисами и филиальными сетями.

Инжектор. Подстановка своего кода

UserGate UTM позволяет изменять получаемый пользователем код страницы. Это может применятся для замены блокируемого контента, для вставки определенной информации или собственной рекламы, что бывает востребовано операторами связи и публичного Wi-Fi доступа.

Кластеризация

UserGate UTM поддерживает работу в режиме высокой доступности (High Availability) и работу в кластере. В этом случае возможна параллельная работа нескольких серверов в режиме active-passive или active-active, что может быть важно в отношении увеличения производительности и отказоустойчивости.

Модуль Advanced Threat Protection (ATP)

Глубокий анализ контента

UserGate UTM осуществляет морфологический анализ веб-страниц на наличие определенных слов и словосочетаний. Это позволяет контролировать доступ к конкретным разделам сайта, не блокируя ресурс целиком на уровне категории или домена. Подобный подход достаточно актуален для различных социальных сетей, форумов и других порталов, в наполнении которых значительную роль играют пользователи (Web 2.0). Решение использует специальные морфологические словари, составленные на основе требований законодательства РФ: Нецензурная лексика, Порнография, Суицид, Наркотики, Терроризм. Запрещенные материалы из списка министерства Юстиции РФ. Поддержка списка Роскомнадзора, Phishing, Entensys white/black lists

Модуль блокировки рекламы Adblock

В ряде случаев на сайтах отображается контент из баннерных сетей, который не имеет прямого отношения к владельцам сайтов и ими не контролируется. Как следствие, эти баннеры часто содержат негативные изображения или же могут вести на опасные ресурсы. UserGate UTM позволяет блокировать такие баннеры и всплывающие окна на основании знания наиболее популярных рекламных сетей и используемых ими скриптов. Использование интернета практически каждым пользователем эффективно отслеживается рядом крупных компаний, включая Google, Facebook и другие, владеющими социальными сетями, порталами, поисковиками. UserGate UTM позволяет блокировать скрипты, которые обеспечивают наблюдение за поведением пользователя в интернете.

Облачный антивирус

Облачный антивирус, разработанный и поддерживаемый компанией Entensys, позволяет обеспечивать высокий уровень защиты пользователя без уменьшения производительности системы. Модуль позволяет передавать в облако сигнатуры закачиваемых файлов и скриптов, где они проверяются на предмет сравнения с известными опасными приложениями. Entensys использует ежечасно обновляемую базу, содержащую на данный момент несколько сотен тысяч опасных сигнатур и наполняемую с помощью ряда непроприетарных систем и песочниц (sandboxes). Данный подход крайне эффективен при высокой нагрузке, так как блокирует вредоносные файлы, включая так называемые проблемы нулевого часа, не сказываясь негативно на скорости работы системы.

Интернет-фильтрация

Использование модуля интернет-фильтрации значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.

Контроль использования социальных сетей

UserGate UTM дает возможность блокировки игр и других приложений для наиболее популярных социальных сетей, таких как Facebook, ВКонтакте, Одноклассники. Администраторы могут разрешать использование социальных сетей в целом, при этом контролируя и ограничивая непродуктивные действия. Также поддерживается фильтрация отдельных страниц и групп в социальных сетях по признакам наличия экстремистского контента, нецензурных выражений и другим критериям.

Модуль Mail Security

Безопасность электронной почты

Облачный антиспам

Облачный антиспам отфильтровывает письма, основываясь на анализе их содержания и эвристике. Анализу подвергаются письма на любых языках, а также графические сообщения. Центр обнаружения спама выявляет спамерские атаки в любой точке мира. Модуль отправляет облачному сервису UID письма, который позволяет определить, является ли почтовое сообщение спамом. Решение блокирует не IP-адрес, домен или электронный адрес, а конкретное письмо или атаку спама.

Одним из важных достоинств облачного антиспама является крайне низкий уровень ложного срабатывания — менее, чем одно на 1,5 миллиона сообщений. При этом уровень детекции составляет более 97%.

Методы защиты от спама

В обработке входящих сообщений в UserGate UTM фильтрация выполняется в несколько этапов — по соединениям, по адресу источника, по адресу назначения и по содержанию. При проверке почтового трафика с помощью DNSBL, IP-адрес SMTP-сервера отправителя спама блокируется на этапе создания SMTP-соединения, что позволяет существенно разгрузить другие методы проверки почты на спам и вирусы.

Модуль антивируса Касперского

Шлюзовой антивирус для фильтрации файлов и вложений

Для любой организации критически важно защитить трафик, входящий в локальную сеть, от вирусов и шпионских программ. UserGate UTM использует антивирусный движок Лаборатории Касперского для проверки всего входящего и исходящего трафика.

Сервис защиты от сетевых угроз

• Назначение
• Возможности
• Актуальность
• Преимущества
• Оформить заявку

Назначение сервиса

Сервис по защите от сетевых угроз «Ростелеком-Солар» позволяет обеспечить комплексную защиту периметра корпоративной сети, одновременно снизив издержки на персонал, оборудование и устранение последствий атак. В основе сервиса лежит UTM — средство унифицированной защиты от угроз.

Применение UTM позволяет объединить разрозненные функции защиты сети, создать единую точку выхода в Интернет и применять единые политики ИБ, в том числе в крупных территориально-распределенных организациях. Но любой UTM требует правильной настройки и постоянного обновления сигнатур, для чего нужны круглосуточный мониторинг инцидентов и экспертиза нескольких специалистов по кибербезопасности.

Ростелеком-Solar предлагает решение этой проблемы — UTM как сервис. Он является частью Единой платформы сервисов кибербезопасности (ЕПСК), которая располагается в облачной инфраструктуре «Ростелеком-Солар» и управляется командой квалифицированных ИБ-специалистов Solar JSOC — центра мониторинга и реагирования № 1 в России.

ЕПСК позволяет гарантировать производительность и отказоустойчивость сервиса, применение самых актуальных настроек и сигнатур, а также обнаружение и устранение инцидентов безопасности в максимально сжатые сроки.

Для передачи трафика между ЕПСК и заказчиком у него устанавливается телекоммуникационное оборудование Ростелекома — CPE (Customer Premises Equipment). По желанию заказчика возможна организация защищенного туннеля для обеспечения конфиденциальности передаваемой информации.

CPE управляются и конфигурируются автоматически (технология Zero Touch Provisioning), что позволяет подключать новые локации менее чем за 24 часа. Возможна установка двух CPE для создания отказоустойчивой конфигурации — при выходе из строя одного устройства его мгновенно подменяет второе (режим Active-Standby).

Варианты исполнения CPE

Возможности сервиса

Актуальность сервиса

В каждой организации используются компьютеры, имеющие доступ в Интернет, что позволяет киберпреступникам атаковать сетевой периметр организации из любой точки мира. В случае успеха они могут делать что угодно — украсть конфиденциальную информацию и персональные данные, перевести деньги с расчетного счета или нарушить бизнес-процессы, например, выведя из строя персональные компьютеры сотрудников с помощью программ-вымогателей.

Данные: Solar JSOC и Positive Technologies, 2018

Отказаться от Интернета уже нельзя — без него организация станет неконкурентоспособной или вовсе не сможет работать (банки, торговые сети, транспортные компании и т. д.).

Таким образом, от защищенности сетевого периметра напрямую зависят
непрерывность бизнес-процессов, оперативность принятия решений и репутация организации

Для защиты от сетевых угроз необходимо эксплуатировать целый комплекс средств защиты — антивирусный шлюз, межсетевой экран, систему обнаружения вторжений, веб- и спам-фильтры. Обычно это продукты от разных вендоров, которые плохо взаимодействуют друг с другом и требуют опытных специалистов для настройки и обновления. Наличие филиальной сети дополнительно усложняет задачу — применение единых политик безопасности становится практически невозможным.

Для решения этих проблем были созданы комплексные решения, объединяющие возможности нескольких продуктов — UTM. С их помощью можно обеспечить комплексную защиту сетевого периметра организации от вредоносного ПО и хакерских атак, централизовать управление функциями защиты, а также упростить внедрение единой политики информационной безопасности. При этом издержки на защиту периметра снижаются, так как единое решение стоит меньше набора отдельных средств защиты.

Но недостаточно просто приобрести UTM — как и другие средства защиты, его нужно правильно настроить и постоянно обновлять, для чего нужна команда из нескольких специалистов по кибербезопасности. Собрать таких людей — трудная задача: на рынке ИБ-специалистов кадровый голод и они стоят дорого, особенно с учетом посменной работы для обеспечения круглосуточной защиты в режиме 24×7.

Интернет-угрозы и способы защиты от них

Рубрика: Информационные технологии

Дата публикации: 02.06.2015 2015-06-02

Статья просмотрена: 6305 раз

Библиографическое описание:

Мазаев Д. В., Ермолаева В. В., Мурзагалиев А. Г. Интернет-угрозы и способы защиты от них // Молодой ученый. — 2015. — №11. — С. 193-197. — URL https://moluch.ru/archive/91/19771/ (дата обращения: 06.04.2020).

В настоящее время Интернет является важной частью жизни человека. Многие люди регулярно заходят во «Всемирную паутину», что узнать что-нибудь новое из новостных лент. Для программистов и людей, чья профессия связана с работой на компьютере, Интернет является частью их повседневной работы. Для школьников и студентов это источник любой необходимой информации, возможность играть в игры и общаться в социальных сетях. Вследствие, люди, которые регулярно заходят в Интернет, сталкиваются с различными угрозами.

Технические угрозы и Социальная инженерия — два вида Интернет — угроз. Основными техническими угрозами для пользователей являются вредоносные программы, ботнеты и DoS и DDoS-атаки. Вредоносные программы наносят ущерб компьютеру, серверу или компьютерной сети, например, крадут или стирают данные, которые хранятся на компьютере, что ведет к ухудщению работы устройства или к его Вредоносные программы чаще всего находятся в страницахновостныхсайтовилидругихпопулярныхресурсах,незаметнопроникая накомпьютер пользователя, просматривающего этот сайт. Электроннаяпочта исъемныеносителиинформации также могут являться распространителями вредоносных программ, а любые файлы, скачанные с Интернета, стоит всегда проверять Антивирусом.

Вредносныепрограммыделятся навирусы,черви итроянскиепрограммы.

Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведения в негодность аппаратных комплексов компьютера.

Лежащий в виде зараженногофайла надискевирус неопасен дотехпор,покаего неоткрытьили незапустить. Онначинаетдействоватьтолькотогда,когдапользовательегоактивирует.Вирусыразработаны,чтобыкопироватьсебя,заражаякомпьютеры,приэтомобычноониуничтожаютфайлы.Компьютерныевирусыназванывирусами из-за ихсходства сбиологическимивирусами попризнакуспособности ксаморазмножению.

ᐧОдним из вредоносных вирусов является win32 и его модификации. Применениесовременныхантивирусныхпрограммпомогаетпредотвращатьзаражениекомпьютеравирусами, втомчисле иwin32.Этотвирусявляется «Трояном» имаскируетсяпододну извыполняемыхзадачсистемы.

Рис. 1. Диаграмма.Топ-10самыхраспространенныхИнтернет-угроз вмире (июль-2009) (данныекомпании «ESET»)

Сетевой червь — разновидность вредоносной программы(вируса), самостоятельно распространяющейся через локальные и глобальные компьютерные сети. Ониполностьюоправдываютсвоеназвание,посколькураспространяютсяпутем «переползания» изустройства вустройство.

Троя́нская программа (также — троя́н, троя́нский конь) — вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно. «Трояны» — самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк. Примеры троянских программ: Back Orifice, Pinch, TDL-4, Trojan.Winlock.

Достаточно часто злоумышленники заражают компьютер для того, чтобы сделать его частью ботнета —сети из зараженных устройств, расположенных по всему миру.

Ботнет (англ. botnet, произошло от слов robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов(серверов), с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Крупнейшие ботнеты могу твключать в себя десятки и сотни тысяч компьютеров, а пользователи даже не догадываются, что их компьютеры заражены вредоносными программами и используются злоумышленниками.

DoS (от англ. Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему (обычно совершенная хакерами) с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Атака, проводящаяся одновременно сразу с большого числа компьютеров, называется DDoS-атака.

Рис. 2. DoS-атака осуществляетсядвумяспособами

При первом способе для атаки используется уязвимость ПО (программного обеспечения), установленного на компьютере «жертвы». С помощью уязвимости вызывается определенная критическая ошибка, ведущая к нарушению работоспособности системы.

При втором способе атака осуществляется при помощи одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети.

DDoS-атака (распределенный отказ в обслуживании) —это разновидность DoS-атаки, которая организуется при помощи очень большого числа компьютеров, благодаря чему атаке могут быть подвержены сервера даже с очень большой пропускной способностью Интернет-каналов.

Для организации DDoS-атак злоумышленники используют ботнет —специальную сеть компьютеров, зараженных особым видом вирусов. Каждым таким компьютером злоумышленник может управлять удаленно, без ведома владельца. При помощи вируса или программы, искусно маскирующейся под легальную, на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активизируется и начинает отправлять запросы на атакуемый сервер, в результате чего заполняется канал связи между сервисом, на который проводится атака, и Интернет-провайдером и сервер перестает работать.

Социальная инженерия — метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т. п. Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Пожалуй, это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Целью фишинга является незаконное получение конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте, и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию нг

Способы защиты от угроз в Интернете

Существует много видов и способов атак, но также есть и достаточное количество способов защиты от них. При работе в Интернете рекомендуется выполнять следующие требования:

— ᐧРаботайте на компьютере под учетной записью с ограниченными правами

— ᐧИспользуйте шифрование данных

— ᐧРегулярно выполняйте обновления программного обеспечения

— ᐧИспользуйте и регулярно обновляйте антивирусные программы