Павел КАРПОВ, эксперт по digital-маркетингу
Ни для кого не секрет, что к безопасности дата-центров предъявляются самые высокие требования. Ведь ИТ-инфраструктура корпораций – одна из основ их эффективной работы, а бизнес хостинг-провайдеров держится на доверии клиентов, их убежденности в том, что ЦОДы в состоянии обеспечить сохранность и доступность данных. Таким образом, удар по инфраструктуре может нанести серьезный ущерб компаниям и буквально похоронить хостера, допустившего халатное отношение к вопросам безопасности. Поэтому вполне допустимо рассматривать опыт дата-центров как пример для других предприятий, озабоченных обеспечением комплексной безопасности корпоративной инфраструктуры.
Андрей Бирюков в начале 7-й главы книги «Информационная безопасность: защита и нападение» отмечает: «Проектирование систем защиты информации в корпоративной сети – это процесс сложный и трудоемкий, так как необходимо учесть все особенности корпоративной ИТ-инфраструктуры <...>Мы должны построить систему безопасности так, чтобы она защищала всю ИТ-инфраструктуру от сетевого кабеля и беспроводной точки доступа до корпоративной почтовой системы, веб-сервера и базы данных...» (1).
Человеческий фактор риска
На самом деле все еще сложнее, потому что самым уязвимым элементом корпоративной инфраструктуры являются люди. «Взломать» сотрудника подчас проще, чем почтовый аккаунт. Вспомните случай с утечкой паролей от социальных медиа на телеканале TV5Monde(2) (этот кейс подробно проанализирован на Хабрахабр (3): обычная глупость, банальная небрежность – и работа крупного медиапредприятия парализована на несколько часов. А сколько «открытий чудных» может подарить заинтересованному наблюдателю корзина для бумаг, хозяин которой пренебрегает шредером, вы догадываетесь? Итак, начинать надо с содержательного, а не формального инструктажа работников. Правила внутреннего распорядка должны быть составлены вдумчиво и содержать подробные регламенты поведения на рабочем месте. Эти правила должны быть доведены до сотрудников под роспись и составлять неотъемлемую часть трудового договора.
В рамках реализации корпоративных политик безопасности необходимо организовать на объекте пропускной режим, а, возможно, и досмотровый контроль, чтобы избежать утечки значимой информации (например, цифровых ключей) на портативных носителях (да-да, флешки еще в ходу). Желательно также организовать видеонаблюдение (обратите внимание, что в этом случае сотрудники должны дать свое письменное согласие на такую форму контроля). Обязательно нужно проводить систематические проверки соблюдения политики безопасности: листочки с паролями, наклеенные на монитор, должны быть поводом для увольнения. Рабочие места сотрудников, а также панели доступа к объектам инфраструктуры должны быть расположены таким образом, чтобы максимально усложнить жизнь службе наружного наблюдения недоброжелателей. Как минимум мониторы и клавиатуры должны быть размещены так, чтобы на них нельзя было посмотреть из окна и/или из коридора. Также рабочие места сотрудников должны быть оснащены антивирусным и антишпионским программным обеспечением.
Физическая безопасность объекта
Но все эти меры безопасности продиктованы не специальными техническими знаниями, а здравым смыслом. Как говорил профессор Преображенский: в них лишь «здравый смысл и жизненная опытность». Перейдем к специфическим мерам. Прилегающая к зданию территория, на которой наверняка расположены объекты инфраструктуры, должна быть защищена не хуже самого здания. Ведь трансформаторная будка или место наружного пролегания коммуникационного кабеля вполне могут представлять интерес для злоумышленников. Позаботьтесь об экранировании всех возможных энергетических контактов с внешней средой (электрические провода и т. п.), помните, что информацию с компьютера можно снимать, не только подключаясь к самому устройству, но и считывая данные о напряжении силового кабеля например. Достаточно, чтобы компьютер при этом работал.
Не стоит сбрасывать со счетов старую добрую аудиопрослушку. Необходимо не только регулярно сканировать помещение на наличие «жучков», но и обеспечить защиту стекол. Обычное стекло вибрирует, если в помещении издается какой-то шум, например, обсуждаются условия важной сделки. Вибрации могут считываться, например, с помощью лазерного луча, отраженного поверхностью окна. Луч попадает на считывающую матрицу, подключенную к компьютеру, оснащенному ПО, позволяющим восстановить звук.
Использование экранированных трехслойных стеклопакетов существенно осложнит задачу чрезмерно любознательным гражданам. Кроме того, возможно использование модулятора стекла, закрепленного прямо на окне, и модулирующего стекло на разных частотах так, что амплитуда получается выше, чем модуляция голосом при средней громкости произношения; генератора широкополосного акустического шума, который можно просто поставить на подоконник вблизи от стекла.
Безопасность ИТ-инфраструктуры
Поговорим теперь о специфических способах защиты ИТ-инфраструктуры. Очевидно, что необходимо использовать двухфакторную аутентификацию и вынуждать пользователей производить регулярную смену паролей (не реже чем раз в месяц). Такой подход используют, например, многие отечественные банки даже по отношению к клиентам. Последние просто не могут авторизоваться в интернет-банке, не сменив своевременно пароль. При этом качество пароля оценивается системой. Не следует пренебрегать инструментами защиты от несанкционированного доступа. Четкие политики управления учетными записями и доступом в локальную сеть предприятия (IAM, IAG) также позволят снизить риски за счет определения прав доступа к тем или иным данным для различных категорий пользователей.
Общим местом для специалистов в сфере корпоративной безопасности является использование систем контроля и управления доступом (СКУД). «Доступ в помещения предоставляется только авторизованному персоналу. Класс зданий, в которых располагаются офисы такого уровня, обеспечивает высокий уровень защиты со стороны арендодателя» (4).
Соблюдение условий эксплуатации оборудования, предписанных производителем, позволяет сократить риски, связанные со случайной потерей данных при физическом повреждении носителей (серверов). Отдельно следует сказать о проблемах, возникающих в связи с виртуализацией, в том числе с виртуализацией сетевых функций. Аббревиатура VNF произносится специалистами телекоммуникационных компаний с характерным восхищенным придыханием. Тем не менее «для реализации большинства преимуществ от использования виртуализации необходимо проводить тщательное архитектурное планирование будущих виртуальных сред, корректно оценивать расходы на оборудование большей мощности, а также затраты на дополнительное программное обеспечение и лицензии. Отдельным разделом, требующим внимательного анализа, остаются вопросы оценки рисков в отношении безопасности доступа к данным» (4). Далее, кстати, автор обращает внимание на проблемы с безопасностью, которые возникают при работе с виртуальной инфраструктурой пользовательских компьютеров (VDI). Эксперты «Лаборатории Касперского» (5) подтверждают: «Технологии виртуализации повышают эффективность и производительность IT-инфраструктуры. Однако не стоит забывать, что большинство кибератак, которые нацелены на физические компьютеры, могут поражать и виртуальные машины. Риск для виртуальных сред даже выше, поскольку отслеживать работу и взаимодействие каждого из технологических уровней не так просто. Кроме того, виртуальные среды имеют больше «поверхностей атаки», что активно используют киберпреступники».
Защита VDI не должна уступать защите физических машин, а значит, не нужно забывать как о стандартных полновесных антивирусных агентах, защищающих каждую машину по аналогии с физической, так и о легковесных агентах, специально разработанных для виртуальных машин, дабы снизить ресурсопотребление. Решения с легковесными агентами используют виртуальную выделенную «машину безопасности», которая позволяет не использовать дублирующие механизмы на каждой виртуальной машине.
Подведем итоги. Самую большую опасность для корпоративной инфраструктуры представляют собственные сотрудники, которые по злому умыслу (но чаще по глупости) могут свести на нет все усилия по обеспечению физической и информационной безопасности объекта.
Грамотное расположение рабочих мест сотрудников – важная составляющая стратегии обеспечения комплексной безопасности предприятия. Но и о том, что злоумышленники могут использовать высокотехнологичные инструменты из арсенала Джеймса Бонда (прослушка, технически опосредованное наружное наблюдение и т. п.), забывать не следует.
Вынуждайте сотрудников регулярно менять пароли и ограничивайте их доступ к информации сообразно занимаемой должности и возложенным функциональным обязанностям.
Принимая решение о виртуализации ИТ-инфраструктуры, помните, что вы увеличиваете не только эффективность использования оборудования но и риски.
Ссылки:
1. Бирюков А. А. Информационная безопасность: защита и нападение. М. ДМК Пресс, 2012
2. https://www.theguardian.com/world/2015/apr/09/french-tv-network-tv5monde-hijacked-by-pro-isis-hackers
3. https://habrahabr.ru/post/255509/
4. Гайлунь В. В. Концептуальные подходы к организации ИТ-инфраструктуры в корпоративной среде // Экономика и менеджмент инновационных технологий. 2013. № 10 [Электронный ресурс]. URL: http://ekonomika.snauka.ru/2013/10/3051 (дата обращения: 06.11.2016).
5. Каталог стратегических решений в сфере ИТ-безопасности. [Электронный ресурс]. URL: http://media.kaspersky.com/ru/Kaspersky_Enterprise_Solutions_Catalogue.pdf (дата обращения: 06.11.2016).
|