Сети соединяют устройства друг с другом, чтобы пользователи могли получать доступ к активам, таким как приложения, данные или даже к другим сетям, таким как Интернет. Сетевая безопасность защищает и отслеживает каналы и обмен данными в сети, используя сочетание аппаратного и программного обеспечения и принудительных политик.
Сети и сетевая безопасность имеют широкий диапазон сложности, чтобы соответствовать широкому спектру потребностей. Людям, стремящимся защитить среду небольшого офиса или домашнего офиса (SOHO), не нужны те же инструменты и методы, что и для малого или среднего бизнеса (SMB), не говоря уже о предприятии с тысячами устройств и десятками, если не сотнями сетей.
В этой статье кратко описаны типы безопасности, необходимые для защиты сети. Затем, имея в руках этот контекст, мы наметим минимальные, лучшие и корпоративные решения безопасности для каждого типа безопасности, а также сопутствующие решения, выходящие за рамки сетевой безопасности, которые также могут понадобиться.
Оглавление
Общие рекомендации по сетевой безопасности
Контроль доступа пользователей
Средства управления обнаружением активов
Контроль трафика
Отказоустойчивость, техническое обслуживание и контроль тестирования
Аутсорсинг сетевой безопасности: преимущества и предостережения
Итог: обеспечение безопасности сети — это непрерывный процесс
Общие рекомендации по сетевой безопасности
Передовой опыт сетевой безопасности напрямую противостоит основным угрозам сети с помощью специальных технологий и средств контроля. К основным типам угроз для сети относятся:
Плохие пользователи: неавторизованные пользователи (хакеры, неправильно настроенные приложения и т. д.), которые преднамеренно или непреднамеренно подключаются к сети.
Плохие устройства: неавторизованные устройства или устройства в скомпрометированном состоянии, которые преднамеренно или непреднамеренно угрожают целостности или производительности сети.
Вредоносный трафик: сетевой трафик с целью нарушения работы или кражи данных.
Злонамеренные намерения: авторизованные пользователи или устройства, подключенные к сети с намерением нарушить работу или украсть данные, обычно характеризуемые как внутренняя угроза.
Плохое обслуживание: сетевые компоненты преднамеренно или непреднамеренно остаются уязвимыми из-за отсутствия обновлений или устаревшей технологии.
Нарушение работы: преднамеренные атаки, непреднамеренные неправильные настройки и другие потенциальные ситуации, которые угрожают работоспособности или пропускной способности сети.
Каждую из этих категорий можно решить с помощью технических средств контроля, которые используют оборудование, программное обеспечение или конфигурации для авторизации, аутентификации, облегчения, защиты и мониторинга сетевого трафика. Мы сгруппируем эти технические элементы управления в:
Контроль доступа пользователей
Средства управления обнаружением активов
Контроль трафика
Отказоустойчивость, техническое обслуживание и контроль тестирования
Эти инструменты в значительной степени зависят от эффективного определения административных средств контроля, которые определяют и определяют политики, которые будут реализованы с помощью технических средств контроля. Политики обычно представляют собой письменные документы, в которых подробно описываются требования, которые будут применяться, например, сложность пароля. Эти политики также обеспечивают эталонные показатели, по которым будет отслеживаться, измеряться производительность технических средств и создаваться отчеты по ключевым показателям производительности (KPI) и соответствию требованиям.
Инструменты также зависят от физических средств контроля, которые также должны быть реализованы против злонамеренного физического доступа для уничтожения или компрометации сетевого оборудования, такого как маршрутизаторы, кабели, коммутаторы, брандмауэры и другие сетевые устройства. Эти физические средства контроля не зависят от ИТ-технологий и предполагаются установленными.
Все три аспекта сетевой безопасности направлены на исключение несанкционированного доступа к активам или связи. Усовершенствованная сетевая безопасность отслеживает санкционированные, но неуместные действия или необычное поведение, которое может указывать на компрометацию, активность вредоносного ПО или внутреннюю угрозу.
Аудит сетевых журналов и журналов активности пользователей следует использовать для проверки успешного внедрения политик и элементов управления сетевой безопасностью. Тестирование на проникновение и сканирование уязвимостей следует использовать для проверки правильной реализации и конфигурации.
Контроль доступа пользователей
Для защиты от неавторизованных пользователей сетевая безопасность должна реализовать эффективный контроль доступа. По своей сути контроль доступа требует, чтобы сети регулировали пользователей, которые могут подключаться к сети (напрямую или удаленно), и определяли, к каким сетевым ресурсам может получить доступ конкретный пользователь.
Минимальный Контроль Доступа Пользователей
Active Directory: самые маленькие организации могут беспокоиться только о доступе к устройству, также известном как учетные данные для входа (имя пользователя/пароль). По мере роста организации формализованный и централизованный контроль с использованием Active Directory (AD) или эквивалентного облегченного инструмента протокола доступа к каталогам (LDAP) сэкономит время и обеспечит более быстрое реагирование на запросы об изменении.
Виртуальная частная сеть (VPN). Для удаленного доступа протокол удаленного рабочего стола (RDP) больше нельзя считать безопасным. Вместо этого организациям следует использовать решение виртуальной частной сети (VPN). Локальные устройства могут быть дорогими и сложными в развертывании и обслуживании для самых маленьких организаций. Вместо этого многие обращаются к поставщикам VPN-как-услуги, иногда называемым корпоративными решениями VPN, которые предоставляют решения VPN на ежемесячной основе и для каждого пользователя.
Улучшенный Контроль Доступа Пользователей
По мере роста организаций управление пользователями будет занимать много времени, а потенциальные потери от взлома будут увеличиваться. Улучшенные средства контроля доступа к сети могут улучшить безопасность и снизить затраты и риски.
Инструменты управления доступом: улучшенное управление пользователями с более подробным и автоматизированным контролем доступа может быть достигнуто с помощью управления идентификацией и доступом или управления привилегированным доступом. Некоторые инструменты будут даже интегрироваться с программным обеспечением для управления персоналом, чтобы обеспечить одновременную и автоматизированную инициализацию ИТ-подразделений и отключение доступа к ИТ-инфраструктуре. Эти более сложные инструменты экономят время на управление и могут упростить четкое разграничение между пользователями и активами, к которым им может потребоваться доступ.
Управление облачным доступом: даже небольшие организации теперь используют облачные ресурсы, но большинство внутренних сетевых элементов управления не распространяются на ресурсы, размещенные за пределами сети, такие как Office 365, Google Docs, другие решения «программное обеспечение как услуга» (SaaS) и даже отдельные сети филиалов. Облачные брокеры безопасности облачного доступа (CASB) и безопасные браузерные приложения могут предоставлять консолидированные решения для защиты пользователей как в облачных, так и в локальных сетях.
Управление Доступом Корпоративных Пользователей
Крупнейшие организации используют различные облачные ресурсы и нуждаются в централизованном управлении несколькими офисами, многие из которых находятся в разных странах и подчиняются различным нормативным требованиям. Кроме того, предприятия должны контролировать более широкий круг пользователей, таких как сотрудники филиалов, подрядчики, корпоративные клиенты и даже приложения.
Доступ к приложению: розничный веб-сайт может сделать больше запросов, чем пользователи-люди на любом ресурсе. Вызовы API для связанных приложений (корзины для покупок, базы данных и т. д.) или прямые соединения с активами (контейнеры хранения, серверы балансировки нагрузки, брандмауэры веб-приложений и т. д.) должны управляться как на уровне приложений, так и на уровне сети.
Улучшенное управление облачным доступом. Облачные ресурсы, такие как безопасные веб-шлюзы, настольные компьютеры как услуга (DaaS), Azure Active Directory и аналогичные решения, контролируют доступ пользователей и управление в масштабе. Эти решения также обеспечивают централизованный контроль над географически рассредоточенной рабочей силой и сбором активов.
Связанные Технологии Для Управления Доступом Пользователей
Сетевая безопасность касается только пользователей, поскольку они относятся к доступу к сети. Хотя эффективная сетевая безопасность выходит за рамки сети, она опирается на эффективную аутентификацию пользователя в другом месте стека безопасности.
Безопасность AD. Надежная и безопасная служба Active Directory играет решающую роль в управлении доступом пользователей для большинства организаций. Хотя они и не связаны напрямую с сетевой безопасностью, инструменты безопасности Active Directory могут быть установлены на серверах для защиты AD от злонамеренных и небрежных действий.
Улучшенные пароли. Организации, стремящиеся к повышению безопасности, обычно повышают требования к надежности пароля, чтобы сделать его более сложным или более частым. Менеджеры паролей помогают пользователям выполнять более строгие требования, а также могут обеспечивать централизованное управление. Предприятия также могут использовать технологии единого входа (SSO) для упрощения доступа к облачным ресурсам.
Двухфакторная аутентификация (2FA): В сегодняшней среде, пронизанной программами-вымогателями, двухфакторная аутентификация также должна рассматриваться как минимальное требование для всех форм удаленного доступа. SMS не считается оптимальным решением, но часто может быть наиболее удобным и простым в развертывании. Для повышения безопасности при использовании мобильных телефонов доступны бесплатные приложения для аутентификации от Google, Microsoft и других компаний.
Многофакторная аутентификация (MFA). Растущие организации сталкиваются с повышенным риском взлома, поскольку потенциальный ущерб от кражи учетных данных увеличивается с увеличением размера и репутации компании. Чтобы снизить этот риск, многие используют многофакторную аутентификацию, чтобы обеспечить повышенную безопасность по сравнению с 2FA, особенно когда приложения или токены заменяют уязвимый текст SMS в качестве фактора. Биометрические и беспарольные решения могут быть более дорогими, но их трудно подделать.
Средства управления обнаружением активов
Неавторизованные устройства могут перехватывать или перенаправлять сетевой трафик с помощью таких атак, как подключение неавторизованных компьютеров к сети, развертывание анализаторов пакетов для перехвата сетевого трафика или предоставление фишинговой ссылки для атаки «человек посередине» с целью кражи учетных данных и данных для входа. Точно так же поддельная система доменных имен (DNS) и IP-адреса могут перенаправлять пользователей с законных подключений на опасные и вредоносные веб-сайты.
В дополнение к вредоносным устройствам сети должны обнаруживать потенциально опасные устройства, которые могут быть внедрены по недоразумению или небрежности. Например, на ноутбуке отсутствуют критические обновления безопасности, сломанный планшет или холодильник с поддержкой Wi-Fi, подключенный в комнате отдыха без разрешения.
Минимальные Средства Контроля Обнаружения Активов
Самые маленькие организации часто полагаются на осмотр помещения, чтобы обезопасить свою среду. Тем не менее, многие SOHO полагаются на маршрутизаторы Wi-Fi, и им может потребоваться проверить, присоединились ли их соседи к их сети.
Периодическое обследование активов. Для защиты от несанкционированных или скомпрометированных устройств организации как минимум должны проводить периодические инвентаризации устройств, подключенных к сети. Самые маленькие организации могут выполнить это путем визуального осмотра и анализа адресов управления доступом к среде (MAC), подключенных к сети.
Улучшенные Средства Управления Обнаружением Активов
Более крупным организациям необходимо развертывать более сложные ресурсы для обнаружения и блокировки мошеннических устройств из более разнообразных и крупных сетей.
Блокировать или помещать в карантин устройства: решения для контроля доступа к сети (NAC) тестируют устаревшее или уязвимое программное обеспечение на конечных точках и перенаправляют устройства в карантин до тех пор, пока они не будут устранены. Несанкционированные устройства могут быть заблокированы или помещены в карантин. Некоторые возможности NAC могут быть реализованы за счет добавления фильтрации MAC-адресов или белых списков к брандмауэрам и серверам, но поддержка белых списков может занимать много времени.
Непрерывное сканирование активов: инструменты управления ИТ-активами (ITAM) могут сканировать устройства, подключенные к сети, и отправлять предупреждения или блокировать незарегистрированные устройства. Организациям необходимо проверить типы активов, которые будут обнаружены. Некоторым приложениям, облачной инфраструктуре, сетевому оборудованию или устройствам Интернета вещей (IoT) могут потребоваться более сложные ITAM или дополнительные инструменты для их обнаружения.
Отключите ненужные функции: любой неиспользуемый порт доступа в брандмауэре, ненужный удаленный доступ (хранилище, принтер, маршрутизаторы и т. д.) и подобные функции часто остаются незамеченными. Хакеры будут стремиться найти и использовать эти возможности. Лучше просто отключить их, если они не нужны. По этой причине организациям также следует отключать возможности Universal Plug and Play (UPnP) после завершения установки, поскольку хакеры нашли способы использовать функции автоматизации для загрузки вредоносных программ.
Средства Управления Обнаружением Корпоративных Активов
Корпоративные среды выходят далеко за пределы одного офиса и включают более широкий спектр физических и виртуальных активов. Виртуальные среды (виртуальные серверы, маршрутизаторы, контейнеры и т. д.), размещенные в облаке или в локальных центрах обработки данных, нельзя визуально проверить, и их необходимо контролировать с помощью программного обеспечения.
Устройства IoT, такие как камеры безопасности, датчики температуры или тепловые мониторы, будут добавлены в сети и часто будут иметь недостатки в безопасности. Операционная технология (OT), также известная как промышленный интернет вещей (IIoT), использует интеллектуальные насосы, конвейерные ленты, двигатели и производственное оборудование, и операционные группы, устанавливающие устройства, не всегда могут информировать об этом команду сетевой безопасности.
Жесткое управление доступом к активам: несмотря на слишком строгие и утомительные ограничения для всех устройств, для наиболее ценных активов организация может очень жестко ограничить доступ к устройствам и приложениям. Белые списки или списки разрешений могут быть созданы для конкретных активов, пользователей или приложений, которым разрешено устанавливать соединения. Для критических ресурсов. Фильтрация MAC-адресов может блокировать даже попытки устройств установить соединения. Для большей безопасности внедрите дополнительные элементы управления (аналогичные MFA), чтобы разрешать только определенные профили доступа (конкретный пользователь, устройство, время работы, геозоны и т. д.).
Беспроводные сканеры: используйте беспроводные сканеры для обнаружения неожиданных подключений Wi-Fi и сотовой связи (4G, 5G и т. д.) к IoT, OT и мошенническим маршрутизаторам Wi-Fi. Некоторые соединения могут находиться за пределами контролируемых сетей и не могут быть обнаружены с помощью обнаружения активов. Незащищенные беспроводные соединения должны быть идентифицированы, а затем заблокированы или защищены сетевыми средствами безопасности. Беспроводные соединения ближнего действия, такие как Bluetooth, инфракрасный порт или сверхширокополосная связь (UWB), также должны быть отключены, если они не используются и не контролируются специально.
Доступ к сети с нулевым доверием (ZTNA): ZTNA предполагает, что связь внутри сети может быть скомпрометирована, и требует постоянной проверки пользователей, устройств и уровней доступа. ZTNA — более новая, менее определенная технология, но во многих случаях она может выходить за пределы локальной сети для защиты облачных и удаленных пользователей и ресурсов.
Связанные Элементы Управления Обнаружением Активов
Некоторые решения необходимо применять за пределами сетевой безопасности, но они напрямую усиливают цели сетевой безопасности, чтобы контролировать активы, подключающиеся к сети.
Endpoint Security: Антивирус, антишпионское ПО, обнаружение и реагирование на конечные точки (EDR) и другие элементы управления должны быть развернуты для защиты конечной точки от компрометации.
Enterprise Mobile Management (EMM) или Mobile Device Management (MDM): ограничение приложений и подключений к портативным (ноутбукам и т. д.) и мобильным (телефоны, планшеты и т. д.) устройствам. Эти управляющие приложения также могут проверять состояние устройства на наличие джейлбрейка, устаревшей ОС или вредоносных программ и требовать исправления перед подключением к сети.
Контроль трафика
Авторизованные комбинации пользователей, устройств и активов могут по-прежнему приводить к вредоносному трафику от вредоносного ПО или хакера, взламывающего систему. Тем не менее, вредоносный трафик также может быть случайным или индикатором активности внутренних угроз.
Минимальные Средства Контроля Трафика
Самые маленькие организации часто могут использовать встроенную систему безопасности, включенную в их оборудование, для контроля трафика внутри и в сети.
Активация встроенного брандмауэра: как минимум, в среде SOHO необходимо включить встроенный брандмауэр в Wi-Fi и интернет-маршрутизаторах. Аналогичным образом следует развернуть локальные брандмауэры для персональных компьютеров и, если возможно, ограничить их использование для дополнительной защиты.
Улучшенные Средства Контроля Трафика
Более крупным организациям потребуется более формальная и централизованная защита от вредоносного сетевого трафика и мониторинг операционных угроз и угроз безопасности в локальной сети и центрах обработки данных.
Network Edge Control: организациям необходимо развернуть современные технологии брандмауэров, такие как брандмауэры нового поколения (NGFW) и Unified Threat Management (UTM). Для небольших организаций, которые не могут позволить себе устройства, или организаций, которые также хотят защитить облачные ресурсы, инструменты брандмауэра как услуги (FWaaS) размещают масштабируемые брандмауэры в облаке для глобального доступа и контроля. Эти решения будут отслеживать трафик между сетью и Интернетом на наличие вредоносных URL-адресов, известных вредоносных программ и несанкционированного доступа.
Мониторинг сетевого трафика. Во время атаки сетевой трафик может содержать известные индикаторы компрометации или известные сигнатуры вредоносных файлов. Брандмауэры обнаружат часть этого трафика, но только если трафик направляется через брандмауэр с ограниченной пропускной способностью. Отдельные системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS), сетевые системы обнаружения и реагирования (NDR), расширенные системы обнаружения и реагирования (XDR) и аналогичные системы могут проверять пакеты. Вредоносные, искаженные или подозрительные пакеты между устройствами могут быть обнаружены, заблокированы или помещены в карантин.
Сегментация сети. Растущие организации должны разрешать различные типы доступа, но не должны разрешать всем доступ ко всему в сети. Сегментация сети может создавать сети для гостей, карантинные сети для небезопасных устройств и даже отдельные сети для уязвимых IoT, OT и известных устаревших технологий. Сегментация также может контролировать нагрузку на трафик, помогая улучшить пропускную способность сети и скорость потери пакетов.
Средства Мониторинга Корпоративного Трафика
Для сетей масштаба предприятия требуются самые надежные и масштабные инструменты для централизации операций и мониторинга безопасности трафика между удаленными работниками, несколькими офисами, виртуализированными технологиями, IoT, OT и облачными ресурсами.
Вспомогательный мониторинг: в самых больших масштабах оповещения становятся чрезмерными, и часто для ускорения обнаружения аномалий используются автоматизация и искусственный интеллект (ИИ). Алгоритмы искусственного интеллекта и машинного обучения (ML) можно найти развернутыми в более продвинутых версиях брандмауэров, IDS/IPS, NDR, XDR и многих связанных технологиях (EDR, защита электронной почты и т. д.).
Обнаружение внутренних угроз. Злонамеренные и случайные действия внутренних угроз могут быть обнаружены с помощью таких инструментов, как предотвращение потери данных (DLP), аналитика сущностей и поведения пользователей (UEBA) или аналитика поведения с улучшенным искусственным интеллектом, встроенная в брандмауэры и решения IDS/IPS. Технологии обмана, использующие приманки и подобные уловки, могут вызывать предупреждения как хакеров, так и авторизованных пользователей, которые могут пытаться выполнять вредоносные действия.
Защита корпоративной сети. При защите больших разветвленных сетей организации могут рассмотреть решения Secure Access Service Edge (SASE), предназначенные для охвата нескольких местоположений, локальных ресурсов и облачных ресурсов.
Группы мониторинга: сам сетевой трафик может не распознаваться как вредоносный, но мониторинг с помощью службы управления инцидентами и событиями безопасности (SIEM), центра управления безопасностью (SOC), управляемого обнаружения и реагирования (MDR) или аналогичной группы мониторинга может обнаруживать необычные соединения. Эти команды также могут реагировать на предупреждения и устранять атаки, которые уклоняются от автоматического реагирования.
Связанные Элементы Управления Мониторингом Трафика
В то время как сетевая безопасность отслеживает основные шлюзы и внутренние сети, некоторый трафик выходит за рамки большинства инструментов сетевой безопасности. Необходимо развернуть другие технологии, чтобы вредоносный трафик не авторизовался активами, подключенными к сети.
Безопасность электронной почты. Многие атаки не обнаруживаются сетевой безопасностью с помощью вредоносных электронных писем, таких как фишинг, компрометация деловой электронной почты (BEC) и программы-вымогатели. Безопасность электронной почты можно повысить с помощью инструментов безопасности электронной почты, безопасных почтовых шлюзов или даже недорогих протоколов, таких как SPF, DKIM и DMARC.
Безопасный доступ к приложениям. Доверенным приложениям часто разрешается свободно обмениваться данными через брандмауэр и между соответствующими активами (серверами, балансировщиками нагрузки, базами данных и т. д.). Брандмауэры веб-приложений (WAF) могут быть установлены перед определенными веб-сайтами, веб-серверами и приложениями, чтобы добавить дополнительные уровни безопасности приложений для трафика между приложениями или с незащищенными подключениями к Интернету. Безопасность приложений и безопасность API должны быть развернуты для предотвращения уязвимостей кода и другого несанкционированного доступа.
Безопасный доступ для просмотра. Соединения между пользователями и Интернетом часто шифруются с использованием HTTPS-соединений, что делает проверку сложной или обременительной для брандмауэров и других средств мониторинга. Дополнительная защита может быть развернута с использованием безопасности браузера, безопасности DNS или безопасных браузеров для защиты конечных точек от вредоносных веб-сайтов.
Отказоустойчивость, техническое обслуживание и контроль тестирования
Никакая защита не будет надежной. Уязвимости, неправильные настройки, ошибки и опытные злоумышленники могут создавать бреши в сетевой и другой безопасности. Сбои в бизнесе также могут быть вызваны ошибками, неправильными конфигурациями и ошибками. Инструменты устойчивости делают сетевые ресурсы менее уязвимыми к сбоям или помогают сети быстро восстанавливаться после повреждений или компрометации.
Даже самый надежный стек безопасности и самая отказоустойчивая сеть развалятся без обслуживания. Хотя это менее очевидно, полностью поддерживаемая и обновленная система сетевой безопасности все же может быть уязвима для неправильных конфигураций. Организациям любого размера необходимо проверять правильность установки и обслуживания сети и других систем безопасности.
Минимальная Устойчивость, Техническое Обслуживание И Средства Контроля Тестирования
Организации SOHO обычно стараются не тратить деньги, но должны потратить некоторое время на внесение изменений в сетевые системы.
Автоматизация обновлений: локальные сетевые маршрутизаторы, брандмауэры и другое оборудование можно настроить на автоматическую загрузку новых обновлений, чтобы устройства и прошивка не стали уязвимыми. Однако организации также должны знать, что сбои питания во время обновлений или обновления с ошибками могут привести к отказу оборудования.
Изменить значения по умолчанию. Маршрутизаторы и другое оборудование обычно поставляются с общедоступными настройками и именами по умолчанию. Хакеры часто используют общедоступную информацию для доступа к системам, сохраняя свои настройки по умолчанию. Владельцам SOHO следует изменить пароли маршрутизаторов по умолчанию для защиты от несанкционированного доступа. Федеральная торговая комиссия США (FTC) предоставляет более широкие рекомендации по обеспечению безопасности домашних сетей Wi-Fi и другие советы для SOHO и потребителей.
Отключить устаревшие параметры: ИТ-оборудование поставляется с обратной совместимостью, но это может быть проблематично, поскольку включает поддержку устаревших и опасных параметров. Небезопасные протоколы и порты, такие как FTP или SMBv1, должны быть отключены во всей экосистеме, чтобы предотвратить будущие эксплойты.
Безопасные настройки беспроводной сети. Владельцам маршрутизаторов SOHO необходимо настроить маршрутизатор для использования WPA2 или других безопасных алгоритмов шифрования Wi-Fi вместо старых алгоритмов шифрования, которые иногда используются по умолчанию.
Улучшенная Устойчивость, Техническое Обслуживание И Контроль Тестирования
По мере роста организаций видимость состояния конкретных устройств может стать неуловимой и угрожать безопасности и работе сети. Организациям необходимо внедрить более формальный централизованный контроль и тестирование, чтобы повысить отказоустойчивость и обеспечить обслуживание устройств.
Резервные копии. Хотя сети чаще применяются к конечным точкам и данным, они также выигрывают от периодического резервного копирования настроек и конфигураций. В случае сбоя устройства резервные копии могут снизить риск нарушения работы бизнеса за счет ускорения восстановления.
Управление изменениями. Управление изменениями отслеживает изменения, связанные с пользователями и устройствами, чтобы убедиться, что все изменения авторизованы, утверждены и зарегистрированы. Отслеживание изменений также может помочь службам безопасности и эксплуатации быстро проанализировать сбои, вызванные изменением настроек сети. Неожиданные случайные или злонамеренные изменения в сетевых системах также будут обнаруживаться быстрее и эффективнее.
Управляемое обслуживание. Чтобы предотвратить проблемы, связанные с обслуживанием, организациям следует регулярно устанавливать исправления и обновлять устройства. Однако автоматическая установка исправлений может создавать конфликты и сбои в работе в более сложных средах, поэтому организации быстро внедряют инструменты управления исправлениями и программы управления уязвимостями для формального развертывания обновлений, отслеживания состояния и внутренней отчетности. Объем многих услуг и инструментов может быть ограничен, поэтому организациям необходимо проверить, будет ли поддерживаться их сетевое оборудование.
Микросегментация сети. С появлением программно-определяемых периметров (SDP), программно-определяемых глобальных сетей (SD-WAN) и доступа к сети с нулевым доверием (ZTNA) организации дополнительно контролируют доступ на детальном уровне для предотвращения внутренних угроз. Виртуальные сети могут не только расширять масштаб сети, охватывая облачные ресурсы или ресурсы в географически разбросанных местах, но и создавать микросегментацию. на основе групп пользователей (поставщик, консультант, отдел маркетинга и т. д.), уровней доступа (базовый пользователь, администратор и т. д.) или даже конкретных пользователей, активов или приложений. Если микросегментация адекватно определена инструментами управления идентификацией и доступом, она ограничивает даже украденные учетные данные в их способности нанести вред сети или получить доступ к несанкционированным ресурсам. Сегментация и микросегментация позволяют сети быть более устойчивой к сбоям в системе безопасности за счет ограничения доступа злоумышленников.
Шифрование доступа к конфиденциальным устройствам: по мере того, как компании растут и становятся более профессиональными, шифрование следует использовать для защиты, по крайней мере, ключевых ресурсов. Критически важные ресурсы нуждаются в дополнительной защите. Операционные системы, такие как Windows, предлагают варианты изменения настроек и требуют зашифрованных подключений к определенным ресурсам или по всей сети. Другие настройки следует изменить, чтобы предотвратить передачу или хранение паролей в виде простого текста и обеспечить хранение хэшей паролей с солью.
Сканирование и тестирование уязвимостей. Стратегии безопасности необходимо проверять на устойчивость к атакам или операционному давлению. Тесты объема трафика или сканирование уязвимостей выявляют неправильные конфигурации, непримененное или неправильно примененное шифрование, небрежное управление ключами шифрования, слабые пароли, отсутствующую авторизацию и другие распространенные проблемы, прежде чем хакеры смогут их использовать.
Модернизированные сетевые возможности. Некоторое программное обеспечение для защиты от распределенного отказа в обслуживании (DDoS) и другие средства обеспечения устойчивости также будут встроены в более совершенные маршрутизаторы, брандмауэры и другое сетевое оборудование. Другие функции безопасности и отчеты об операциях также можно найти в более продвинутых устройствах. Несмотря на то, что зачастую это дороже, каждая растущая организация достигает точки, когда риск начинает перевешивать стоимость устройства, а премиальная цена более чем компенсируется ценностью преимуществ.
Корпоративная Устойчивость, Техническое Обслуживание И Контроль Тестирования
Крупнейшие организации сталкиваются с наибольшими рисками сбоев в работе, поскольку простои начинают сопровождаться огромными прямыми затратами и ущербом для деловой репутации.
Сквозное шифрование. Крупнейшим организациям необходимо развертывать дополнительные ресурсы для защиты от кражи данных. Хотя инструменты шифрования могут быть развернуты для конкретных активов, корпоративные организации захотят развернуть сквозные решения для шифрования с централизованным контролем ключей шифрования, управлением и отчетностью.
Гипермасштабируемая архитектура. Организации могут спланировать и подготовить гипермасштабируемую архитектуру, которая объединяет уровни безопасности, хранения, вычислений и виртуализации в модульный ресурс. По мере масштабирования требований или угроз гипермасштабируемые модули могут быть автоматически развернуты или выведены из эксплуатации для удовлетворения меняющихся потребностей. Однако, как и в случае со всеми автоматически развертываемыми облачными ресурсами, за развертыванием также следует следить, чтобы расходы не вышли из-под контроля.
Тестирование на проникновение. Сканирование уязвимостей может выявить общие слабые места, но активные тесты на проникновение определяют, представляют ли уязвимости реальный риск или могут быть смягчены другими средствами контроля. Тесты на проникновение также могут определить, достаточно ли существующие средства защиты остановят злоумышленников. Тестирование на проникновение можно проводить с помощью инструментов, но результаты будут более точными, если можно будет привлечь внешних экспертов.
Избыточность. Отказоустойчивая архитектура и инструменты играют большую роль в предотвращении сбоев в работе сети. Отказоустойчивая архитектура, использующая балансировку нагрузки и избыточность, может поглощать первоначальные объемные DDoS-атаки, чтобы дать возможность реагирования на инциденты смягчить атаку без нарушения работы бизнеса. Избыточность также может позволить частям сети переключаться на новые активы и свести к минимуму нарушения работы и безопасности.
Аналитика угроз: организации могут повысить общую безопасность, понимая текущую среду атак, индикаторы компрометации и обмениваясь информацией о злоумышленниках и их методах. Каналы угроз, платформы анализа угроз и инструменты управления безопасностью, автоматизации и реагирования (SOAR) позволяют обновлять сетевые инструменты, а группы безопасности быть готовыми к последней информации.
Связанные Элементы Управления Отказоустойчивостью, Обслуживанием И Тестированием
В дополнение к сетевой архитектуре пользователи и активы, такие как конечные точки, серверы, облачные ресурсы и приложения, нуждаются в элементах управления, обеспечивающих их отказоустойчивость, обслуживание и тестирование.
Резервные копии. Большинство организаций делают резервные копии конечных точек, серверов, облачных хранилищ и данных приложений, но не все решения для резервного копирования эффективны или отказоустойчивы. Для организаций, не имеющих ресурсов для поддержки нескольких локальных и удаленных резервных копий, службы аварийного восстановления могут обеспечить расширенную защиту и отказоустойчивость. Резервное копирование также является критически важным средством защиты от программ-вымогателей, которое может быть трудно настроить правильно.
Обучение сотрудников. Пользователи остаются одним из наиболее распространенных источников нарушений безопасности, поскольку все совершают ошибки, а большинство сотрудников не могут быть экспертами по безопасности. Курсы обучения сотрудников по кибербезопасности помогают предоставить базовые инструкции, позволяющие сотрудникам внести свой вклад в улучшение методов обеспечения безопасности для всей организации. Некоторые тесты на проникновение могут также включать в себя социальную инженерию, которая требует специального обучения, но организации должны быть осторожны, чтобы не очернить сотрудников, которые совершают ошибки, чтобы гарантировать, что будущие ошибки не будут скрыты.
Широко распространенное шифрование. В дополнение к сетевому обмену данными шифрование может напрямую защищать активы. Конечные точки можно защитить с помощью полного шифрования диска, базы данных можно зашифровать с помощью настроек, а важные файлы можно защитить с помощью шифрования файлов или папок. Принципы шифрования и безопасности должны быть приняты во всей ИТ-инфраструктуре.
Аутсорсинг сетевой безопасности: преимущества и предостережения
Для самых маленьких команд с наименьшим опытом даже соблюдение минимальных стандартов может быть трудным и разочаровывающим, потому что ошибки сделать очень легко. Каждая ошибка может нарушить работу или, что еще хуже, не нарушить работу и просто оставить организацию открытой для атак.
Для многих организаций аутсорсинг может помочь получить опыт в незначительном масштабе, чтобы сделать опыт установки и управления доступным и эффективным. Даже опытные группы сетевой безопасности передают некоторые функции на аутсорсинг, чтобы сэкономить время или деньги.
Однако организации должны иметь в виду, что даже у самых добросовестных MSP или MSSP всегда будет стимул продавать клиенту больше, чем нужно, и они будут ошибаться в сторону осторожности и увеличения продаж. Более агрессивные продавцы могут даже намеренно завышать цены для своих клиентов. Организации, выбирающие аутсорсинг, должны получить базовое понимание, чтобы они могли судить, когда их требования по снижению риска были выполнены.
Итог: обеспечение безопасности сети — это непрерывный процесс
Сети образуют мост между пользователями и их компьютерами, с одной стороны, и активами, к которым они должны получить доступ, с другой. Сетевая безопасность защищает мост, но для обеспечения безопасности каждый конец моста также должен быть защищен средствами безопасности для пользователей, приложений, данных и ресурсов (конечных точек, серверов, контейнеров и т. д.).
Точно так же мост и его фундамент необходимо обслуживать и постоянно контролировать, чтобы убедиться, что все работает правильно и без ошибок. Каждый компонент стратегии безопасности укрепляет и защищает организацию в целом от отказа любого конкретного компонента.
Однако сети, как и мосты, хорошо работают только для определенного круга пользователей, трафика и активов. По мере того, как организация растет и сокращается, сеть и средства безопасности, защищающие ее, должны будут развиваться, чтобы идти в ногу со временем.
