Какую корпоративную сеть можно считать защищённой? В первую очередь, ту, которая находится под контролем её операторов. Иными словами, системный администратор такой сети знает, где что, когда и почему именно происходит. И на случай нештатных ситуаций имеет готовый арсенал инструментов — автоматических, в первую очередь, для того, чтобы избежать инцидентов или, в случае необходимости, минимизировать последствия.
Причин для возникновения таких ситуаций может быть очень много. Вредоносный софт — лишь одна из них, и необязательно самая опасная. По крайней мере, что такое вирусы и трояны, большинство рядовых пользователей сегодня знают и о том, как от них обороняться, имеют представление. Однако у владельцев бизнеса и системных администраторов бывает немало и других причин для головной боли.
Из недавнего исследования, проведённого компанией IT Governance, следует, что 54% компаний считают главной угрозой для IT-безопасности собственных работников. Эта цифра, в общем-то, говорит о многом: даже если оставить в стороне непростой вопрос взаимного доверия руководителей и работников, остаётся проблема обучения персонала основам IT-безопасности, поскольку с компьютерами работают практически все.
Соответственно, у всех — в идеале — должно быть представление о возможных угрозах. Но до «идеала», как показывают цифры из вышеприведённого исследования, ещё очень далеко. В том же исследовании, кстати, указывается, что лишь в 30% компаний знание основ IT-безопасности является обязательным условием для того, чтобы войти в правление.
Как бы там ни было, обеспечение полного контроля над происходящим в корпоративной сети — обязанность системного администратора… И задача, выполнимость которой «в ручном режиме» находится в обратной зависимости от масштабов вверенной инфраструктуры.
Соответственно, возникает необходимость в автоматических средствах обеспечения такого контроля. В Kaspersky Endpoint Security для бизнеса для этого реализован целый ряд инструментов — контроль программ, динамические белые списки, контроль устройств и контроль доступа в интернет.
Функция «Контроль программ» (Application Control) позволяет отслеживать, какие программы функционируют в корпоративных системах в любой момент времени, на каких ПК и под какими учетными записями. Эта функция также выводит информацию о том, как давно используется та или иная программа.
Для выполнения рабочих задач сотрудникам компании, как правило, достаточно использовать определенный набор программ. Возможность ограничить состав используемого ПО только теми приложениями, которые определит администратор, и заблокировать остальные нежелательные программы (неавторизованное, нелегитимное и нецелевое ПО), — чрезвычайно важная опция для корпоративной сети, не говоря уже об управляющих центрах, промышленных объектах, финансовых организациях, военных предприятиях и устройствах специализированного назначения (например, банкоматы и различного рода терминалы).
Необходимо отметить, что контроль над запуском и исполнением приложений позволяет также блокировать атаки извне на уязвимые приложения. Хакеры часто используют целые комплекты различных вредоносных программ, нацеленные на уязвимости в популярных программных пакетах, таких как Adobe Flash Player, Oracle Java и др. Эти программы практически вездесущи.
Функция контроля программ позволяет заблокировать любые несанкционированные действия любого приложения, в том числе самого что ни на есть легитимного.
Подробнее о принципах работы функции можно прочитать здесь.
Динамические белые списки (Dynamic Whitelisting)
Существуют два базовых подхода к информационной безопасности. Первый, более традиционный, предполагает, что в информационных системах по умолчанию допускается запуск любых приложений, если они уже не внесены в «чёрные списки» — списки вредоносного ПО. Второй подход предполагает, что разрешён запуск лишь тех приложений, которые загодя внесены в «белые списки» или базы доверенных программ, а всё остальное по умолчанию блокируется. То есть, опять-таки, внутри корпоративной сети допускается исполнение лишь установленного списка программного обеспечения: подход «запрещено всё, что не разрешено» (Default Deny), позволяет блокировать запуск любого ПО, которое не фигурирует в базе «чистого» ПО.
Решение «Лаборатории Касперского» и разрабатывалось с тем, чтобы максимально упростить внедрение «белых списков» и облегчить жизнь айтишникам: системы наших клиентов получают обновления белых списков с помощью облачной сети Kaspersky Security Network.
«Лаборатория Касперского» – это единственная компания с собственным подразделением, занимающимся составлением белых списков.
Контроль устройств (Device control)
Пользователи могут подключать различные устройства к корпоративным системам — от флэш-накопителей до мобильных устройств, и для обеспечения безопасности необходимо контролировать этот процесс, поскольку это потенциальный вектор утечки важных данных и проникновения вредоносного софта в корпоративную сеть.
Контролировать доступ устройств можно в зависимости от способа подключения, типа или заводского номера устройства; кроме того, есть возможность устанавливать расписание применения таких мер. Например, вы можете разрешить пользователям подключать съемные устройства только в рабочие часы.
Наконец, последнее по очерёдности, но не по важности, — это функция Контроль доступа в интернет (Web control).
Средства веб-контроля «Лаборатории Касперского» позволяют контролировать активность сотрудников в интернете и осуществлять фильтрацию веб-ресурсов в соответствии с принятой внутри компании политикой. Можно разрешать, блокировать, ограничивать или просто отслеживать доступ пользователей к конкретным веб-сайтам или категориям, включая социальные сети, сайты онлайновых игр и, что ещё более важно, сайты с вредоносной начинкой, на которые любому сотруднику достаточно зайти один раз, чтобы проблемы появились у всей компании.
Запретительные меры, безусловно, едва ли будут пользоваться особой популярностью у работников компании, но здесь уже встаёт вопрос расстановки приоритетов.
Продолжение следует