Компания “Сибстройнефтегаз” специализируется на производстве работ, связанных с повышенной опасностью. Это строительство нефте- и газодобывающих производств и объектов, магистральных трубопроводов, объектов газового хозяйства. Регион ее деятельности — Томская, Кемеровская, Новосибирская и Омская области.
Проект по внедрению решения для защиты конечных точек от интернет-угроз был связан с расширением бизнеса компании и строительством нового офиса с новой сетевой инфраструктурой, а также тем, что ранее используемый для защиты продукт перестал устраивать компанию из-за низкой устойчивости к атакам и большого числа уязвимостей в программном коде. При выборе замены, как сообщил главный ИТ-специалист “Сибстройнефтегаза” Дмитрий Пшеничников, на первом месте для компании стояли показатели эффективности защиты и отказоустойчивости нового решения.
Изначально заказчик склонялся к решениям, построенным на технологии NAT, с возможностями контроля активности конечных точек и блокирования различных типов паразитного трафика. Из предложений подобного класса специалисты “Сибстройнефтегаза” остановили свой выбор на интернет-шлюзе Ideco Internet Control Server (ICS) — программном решении, базовым компонентом защиты в котором является межсетевой экран с возможностью фильтрации трафика по любому из полей заголовка IP-пакета.
Как сообщил ведущий специалист томской компании-интегратора ТПК “Галактика” Николай Иванов, настройки системного межсетевого экрана шлюза по умолчанию запрещают все явно не разрешенные действия пользователей. Такой подход обязывает администратора системы изменить фабричные установки в соответствии с корпоративными правилами ИБ. Все исполняемые файлы решения хранятся в области read-only, статус которой, как утверждает компания-разработчик “Айдеко”, не может изменить даже администратор — таким образом исключается модификация или подмена файлов.
Шлюз автоматически обнаруживает подключенные к сети конечные точки, позволяя для каждой из них (или для каждого отдельного пользователя) назначать набор правил работы в Интернете, в том числе запрет определенных типов трафика и контентную фильтрацию интернет-запросов по 18 категориям. Предусмотрены также групповые настройки контроля электронной почты.
Как показали тестовые испытания, Ideco ICS обеспечивал требуемый заказчику уровень защиты от внешних атак (как самого сервера, так и конечных точек), обладал хорошей функциональностью (в шлюзе реализовано около 20 встроенных сетевых служб) и удобным веб-интерфейсом, позволяющим администратору устройства большинство рутинных операций выполнять в один-два клика мышкой.
Кроме того, как подчеркнул Николай Иванов, сервер Ideco ICS в сравнении с конкурирующими вариантами (в том числе с продуктами Microsoft) отличался меньшими стоимостью лицензирования и совокупной стоимостью владения, а также, как со своей стороны отметил заказчик, более оперативной технической поддержкой. Заказчику также понравилось то, что база данных пользователей сети может быть синхронизирована со штатным расписанием, что позволяет контролировать интернет-безопасность в соответствии с правилами использования Интернета, разными для разных подразделений. Так, для бухгалтерии была организована поддержка защищенных соединений интернет-банкинга, а для проектировщиков настроили высокоскоростное соединение со службами заказчика.
Выбору шлюза Ideco ICS поспособствовало также и то, что этот продукт позволял завершить проект в отводимые на все работы две недели. Со стороны интегратора в проекте участвовали два специалиста. В качестве куратора от “Сибстройнефтегаза” в проекте участвовал Дмитрий Пшеничников. Как он утверждает, после завершения монтажа и первичной настройки программного обеспечения сервера, на которые ушло три дня, “всё заработало сразу”. Для встраивания Ideco ICS в существующую сетевую инфраструктуру, по свидетельству компании “Галактика”, не потребовалось вводить какие-либо инфраструктурные изменения, поменялись только настройки VPN-шлюза. Развертывание и окончательную настройку шлюза в соответствии в ИБ-политиками заказчика (кстати, в удаленном режиме) выполнил один специалист “Галактики”, на что у него ушла примерно неделя. Общий бюджет проекта не превысил 2,5 тыс. долл.
По словам Дмитрия Пшеничникова, с завершением проекта заказчик решил изначально поставленную задачу защиты конечных точек от внешних угроз. Выполненные собственными силами с помощью сетевых сканеров XSpider и Nessus тесты на проникновение и сканирование сети подтвердили ожидаемый результат: безопасность конечных точек обеспечена.
Согласно планам заказчик намеревается использовать обещаемый разработчиком в следующих версиях продукта функционал защиты от утечек данных — средства анализа содержимого и логирования потоков исходящего трафика. В настоящее время из возможностей контроля утечек данных, реализованных в шлюзе Ideco ICS, заказчик применяет блокировку отправки вложений электронной почты, перенаправление трафика на рабочие места сотрудников службы ИБ, блокировку использования публичных почтовый систем и интернет-форумов.