Беспроводной доступ — проблема для сетевой безопасности
Как показали международные исследования аналитической компании InsightExpress, чтобы защитить быстро развивающиеся беспроводные сети и растущее число мобильных сотрудников, которые в этих сетях работают, в будущем году организации планируют увеличить расходы на безопасность примерно на 20%. “Это очень много. На предприятии среднего размера и в крупной корпорации двадцатипроцентный рост расходов на безопасность означает сотни миллионов и даже миллиарды долларов”, — заявил Джефф Плейтон, вице-президент Cisco по решениям для безопасности.
К выявленным InsightExpress факторам, побуждающим ИТ-руководителей увеличить расходы на защиту корпоративных сетевых инфраструктур, относятся следующие.
Рост числа мобильных сотрудников. Почти две трети (63%) ИТ-руководителей предоставляют все большему числу сотрудников возможность работать в любом месте и в любое время с помощью мобильных компьютеров и смартфонов. В этом направлении лидирует Германия, за ней следуют Индия и Китай, затем Южная Корея, а США занимает пятое место.
Развитие бизнеса и расширение штатов. Более половины опрошенных (53%) заявили, что в их компаниях происходит расширение штатов, что, естественно, вызывает рост количества мобильных сотрудников, работающих в удаленном режиме по беспроводным каналам. В пяти из семи стран этот фактор назвали более половины участников опроса: 69% в Китае, 64% в Великобритании, 63% в Сингапуре, 62% в Индии и 53% в США.
Потеря и кража информации. Девять процентов ИТ-руководителей отмечают рост расходов на замену потерянных и украденных устройств (ноутбуков, смартфонов и КПК), на которых была записана важная личная и корпоративная информация, включая данные конфиденциального характера. Данная тенденция приобретает особо опасный размах в США, где на этот фактор указало более четверти опрошенных (26%).
73% мобильных пользователей, по данным InsightExpress, заявили, что не всегда четко представляют себе угрозы и способы защиты во время мобильной работы, а 28% признались, что вообще никогда не думают о них. При этом зачастую сотрудники пользуются отговорками типа “я постоянно занят основной работой”, “я не специалист по безопасности”, “этим должны заниматься сотрудники ИТ-отдела”. Почти треть мобильных пользователей без спроса подключается к точкам доступа соседей или к неавторизованным точкам в общественных местах, не предпринимая необходимых мер защиты. Они объясняют свое поведение технической некомпетентностью или нежеланием платить больше за организацию безопасного подключения по Wi-Fi.
Помимо беспечности мобильных сотрудников, исследование выявило такой фактор роста расходов на безопасность, как ужесточение законодательных и нормативных требований. Так, 51% респондентов заявили, что эта причина заставляет их уделять больше внимания вопросам безопасности. Особенно сильно влияние этого фактора проявляется в Азии, где о нем упомянуло большинство опрошенных: 75% в Китае, 65% в Индии и 62% в Сингапуре.
Среди устройств и приложений, подвергающих корпоративную сеть опасности, ИТ-руководители в первую очередь обращают внимание на следующие:
- беспроводные точки доступа;
- портативные компьютеры;
- маршрутизаторы домашнего применения;
- приложения peer-to-peer (Skype, BitTorrent, KaZaA, Freenet, eDonkey, Gnutella и т. п);
- приложения для мгновенного обмена сообщениями -- Windows Live Messenger, AOL Instant Messenger или Yahoo Messenger, ICQ.
Использование портативных анализаторов в организации сетевой безопасности
Решая задачи защиты сети, большинство компаний полагаются на работающие непрерывно интернет-фильтры, межсетевые экраны, средства обнаружения сетевых атак. Они дают хорошие результаты в устранении внешних угроз безопасности, но даже самые мощные из этих устройств не могут полностью устранить проблемы, возникающие из-за использования на рабочих местах неавторизованных устройств и приложений, непреднамеренно (или по злому умыслу) создающих бреши в защите корпоративной сети.
Еще один — мобильный — уровень защиты от внутренних угроз администраторы сетевой безопасности могут организовать с помощью портативных анализаторов. Как утверждают специалисты, значительная часть угроз безопасности остается незамеченной до тех пор, пока не приблизишься к их источнику непосредственно. С помощью портативных устройств, таких как сетевой анализатор OptiView Series III Integrated Network Analyzer компании Fluke Networks, сетевые администраторы могут решать проблемы безопасности внутри периметра сети. Мобильный прибор можно взять с собой и выяснить причины проблемы именно там, где это особенно важно, — на месте ее возникновения, и принять меры против нарушителя правил корпоративной безопасности немедленно. Эти приборы также позволяют решать традиционные ежедневные задачи обслуживания сети, проводить профилактические проверки уязвимых мест сети, включая их физический осмотр специалистом.
Анализатор содержит инструменты для контроля работы сети на всех семи уровнях модели OSI. Прибор классифицирует обнаруженные сетевые устройства как активное сетевое оборудование (маршрутизаторы, коммутаторы, концентраторы SNMP и точки доступа), серверы, принтеры, агенты SNMP и другие хосты. Сети в свою очередь классифицируются анализатором по подсетям IP, виртуальным локальным сетям, доменам NetBIOS и сетям IPX с указанием принадлежности пользователей к каждой из указанных категорий.
Сразу же после подключения к сети прибор без дополнительных команд приступает к мониторингу трафика и активному опросу хостов, к обнаружению подключенных к сети устройств (независимо от их производителя), информируя о месте их подключения: коммутатор — слот — порт. Благодаря этому специалист по безопасности может быстро определять местонахождение подозрительных устройств и с минимальными усилиями выявлять проблемы, связанные с неправильной конфигурацией устройств.
Технологии Fluke Networks обеспечивают достаточно широкие возможности управления беспроводными сетями 802.11a/b/g. Они способствуют выполнению таких ключевых задач по управлению сетью, как:
- обнаружение точек беспроводного доступа и беспроводных клиентов, в том числе одноранговых беспроводных сетей в режиме Ad-Hoc;
- обнаружение и определение местонахождения несанкционированных точек доступа;
- тестирование соединения на основании деятельности активных клиентов;
- мониторинг каналов;
- захват и декодирование пакетов для полного анализа беспроводных локальных сетей 802.11a/b/g.
Кроме того, анализатор поддерживает программные средства производства Fluke Networks для работы с беспроводными сетями: InterpretAir WLAN Survey для анализа, оптимизации покрытия сети и производительности; AnalyzeAir Wi-Fi Spectrum для обнаружения, идентификации и определения местонахождения источников радиочастот, которые создают помехи и приводят к проблемам в работе сетей 802.11.
Используя звуковые и визуальные индикаторы и направленную антенну портативного анализатора OptiView Series III, специалист по безопасности вручную может точно локализовать места подключения неавторизованной беспроводной точки доступа, а затем физически удалить ее или дистанционно отключить от порта коммутатора, к которому она подключена.
Фильтр символьной строки и функция распознавания протоколов помогут обнаруживать запрещенные правилами безопасности приложения, такие как потоковое мультимедиа, пиринговые программы или программные клиенты систем мгновенного обмена данными, способные перегрузить сеть или пробить в ней бреши для злоумышленников. Как считает один из главных аналитиков Info-Tech Research Group, только в 30% случаев программа Skype используется в рабочих целях. Поэтому проводя в утренние часы, когда персонал обычно входит в систему, регулярный мониторинг трафика и настроив фильтр на строку “skype.com”, можно обнаруживать пользователей несанкционированных подключений к системе Skype.
Одновременно в OptiView Series III может быть установлено до восьми триггеров или фильтров. С помощью их функционала можно захватывать трафик, содержащий определенные слова или фразы в незакодированных электронных сообщениях, интернет-страницах, передаваемых файлах и документах, что поможет выявлять несанкционированную передачу информации по сети, копирование документов с ограниченным доступом прямо во время выполнения запрещенных операций.
Анализ захваченной информации можно проводить не только оперативно, но и отложить его на любое удобное для специалиста время, поскольку полученная информация сохраняется на жестких дисках, в том числе и сменных. Меняя сменные жесткие диски при переходе между закрытыми и открытыми участками сети, можно дополнительно страховаться от утечки конфиденциальной информации.
Если OptiView Series III Integrated Network Analyzer используется несколькими специалистами, то администратор прибора может ограничить доступ к таким функциям, как захват и декодирование пакетов, генерация трафика, удаленный интерфейс пользователя, настройка конфигурации анализатора, предотвращая тем самым неавторизованное их использование и обеспечивая выполнение правил доступа к корпоративной информации. Аутентификация по стандарту IEEE 802.1x и журнал использования анализатора ИТ-специалистами для захвата и чтения передаваемой по сети конфиденциальной информации поможет директору по безопасности контролировать выполнение законодательных и нормативных требований (таких, как SOX или HIPPA), нарушение которых чревато для компании крупными издержками.