По оценке Allianz Global Corporate & Specialty, объем ущерба, нанесенного мировой экономике интернет-преступностью в 2016 году (включая прямые потери, недополученную прибыль и расходы на восстановление систем), превысил 575 млрд. долл. Это около 1% мирового ВВП.
Уверен, что результаты 2017 года не будут утешительными. Две последние крупные волны (атаки шифровальщиков WannaCry и Petya) в очередной раз подтвердили, что даже большие корпоративные сети не могут противостоять вирусным атакам и другим информационным угрозам. У среднего и малого бизнеса, государственных и образовательных учреждениях дела обстоят еще хуже — зачастую их система защиты представлена лишь антивирусным ПО на рабочих станциях. Этого, конечно, недостаточно для защиты от разнообразия современных ИБ-угроз: там, где антивирус отразит атаку шифровальщика, другая может «проскочить» через уязвимости необновленного ПО.
Разумная реакция на рост уровня угроз — усиление защиты на сетевом уровне. Защита сетевого периметра и сегментирование локальной сети (разделение на несколько подсетей с обязательной фильтрацией межсегментного трафика) обеспечивает защиту от проникновения вирусов внутрь защищенного контура или позволяет предотвратить полное заражение сети и критически важных блоков (компьютеров финансового отдела, бухгалтерии, серверов баз данных, бэкапов, систем управления производственными процессами).
Большинство современных угроз проникают в сеть через Интернет — это подтверждает анализ методов распространения WannaCry и Petya. Серверы на ОС Windows, напрямую подключенные к Интернету, переносят «заразу» на всю локальную сеть компании, при этом эксплойты могут заблокировать работу предустановленного брандмауэра или специализированного ПО, включая антивирусы, даже при закрытии определенных портов. Вот почему комплексные решения для защиты корпоративной сети, основанные на Windows — это пациент, который скорее жив, чем мертв.
Современные решения безопасности для защиты сетевого периметра сформировались в категории шлюзов безопасности — Unified Threat Management (UTM) и межсетевых экранов нового поколения — Next-Generation Firewall (NGFW). Основное их отличие от устаревших типов решений — наличие систем глубокого анализа трафика (Deep Packet Inspection, DPI). Именно такой анализ позволяет выявить угрозы в обычном типе трафика: HTTP/HTTPS-сессиях, DNS-запросах, почтовых сообщениях. Устройства и программное обеспечение подобного типа предоставляют администратору широчайшие возможности по управлению трафиком: возможность контентной фильтрации интернет-ресурсов, трафика приложений (включая потенциально опасные: BitTorrent, TeamViewer, анонимайзеры и другие программы удаленного доступа), а также залогировать любую подозрительную сетевую активность.
Сегодня подход к информационной безопасности должен быть комплексным. При этом вариант решения all-in-one хорош не только с точки зрения широких возможностей для защиты, но и удобства — работа с разными узкоспециализированными ПО или аппаратными комплексами будет только рассеивать внимание ИТ-службы, что уже является дополнительной угрозой. Решения нового поколения позволяют выстроить максимальную оборону периметра сети вне зависимости от размера компании, при этом на рынке информационной безопасности можно подобрать оптимальный вариант под свои потребности.
Киберпреступники нацелены на получение максимальной выгоды и постоянно совершенствуют методы атак. Почему бы компаниям не ответить им тем же?
Автор статьи — заместитель директора по развитию компании «Айдеко».