Вы находитесь на странице: 1из 2

ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ


ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.9. Защита дополнительных корпоративных сервисов

Продолжаем изучение средств защиты информации. И сейчас настал черед защитить


дополнительные корпоративные сервисы, которыми наша организация общается со своими
внешним пользователями: это может быть корпоративный портал, сайт предоставления услуг
данной организации, который обязательно должен быть доступен. Мы не можем просто закрыть к
нему доступ и открыть его только для одного, трех или тридцати пользователей. Чем больше
пользователей мы охватим, тем больше выгоды принесет это организации.

Помимо доступности этого сервиса, нужно, как минимум, обеспечить целостность этого актива,
чтобы никакой злоумышленник не мог его взломать и, например, подменить цену или изменить
контент корпоративного сайта. Есть такой термин как «deface» – изменение внешнего вида какого-
то ресурса с целью скомпрометировать организацию, нанести ей репутационный ущерб.

Каким образом наши внешние сервисы можно защитить? Как правило, внешние сервисы являются
веб-сервисами, то есть работают по веб-технологии. Здесь существует специализированная
система защиты, которая называется Web Application Firewall (WAF) – межсетевой экран веб-
приложений.

Что данная система умеет и что она делает? Особенность любого веб-сервиса в том, что он очень
сложен. Может быть огромное количество запросов, вариаций этих запросов, которые
пользователи направляют в сторону веб-сервиса. Кто-то просто неспеша просматривает
странички. Кто-то их быстро листает. Кто-то ищет на сайте информацию. Если мы поставим
обычный межсетевой экран, он может детально разобрать контент на запросы пользователей и
ответы сервера, но ему не хватает более интеллектуальной обработки самих веб-запросов, а
именно понимания того, насколько данное поведение вообще характерно для легитимного
пользователя этого веб-сайта.

В конце концов порталы могут быть разными: где-то пользователи работают с офисными
документами, где-то они заказывают билеты, это может быть частный веб-сайт с некоторым
количеством обращений пользователей, которые иногда просматривают информацию. Важно
отметить, что активность пользователей портала как правило различается по времени. Если это
развлекательный ресурс, то больше всего активности на нем будет вечером. Если это новостной
ресурс, или медиаресурс, который работает с другими контрагентами или другими организациями,
то основное количество запросов будет с начала дня до вечера. И вот откуда берется разное
поведение пользователей и разный тип запросов, которые должны быть отфильтрованы в адрес
защищаемого ресурса.

Адекватным механизмом защиты в этой ситуации будет Web Application Firewall (WAF), который
изучает, составляет профиль поведения типичного пользователя в отношении нашего ресурса и на
основании этой информации позволяет принять решение, насколько легитимен тот запрос, который
он видит в данный момент времени? Насколько запрос соответствует стандартному поведению
пользователя в данный момент времени, в данный день недели в отношении именно данного
сервиса, к которому пользователь обращается? И даже если у WAF нет сигнатуры для

1
детектирования вредоносного поведения, он может принять решение, что запрос содержит угрозу
и его необходимо остановить и не дать возможности потенциальному злоумышленнику
реализовать атаку в отношении этого ресурса просто по поведению, а именно по набору
параметров, который пользователь передает в своем запросе и который обрабатывается
сервером.

Таким образом, Web Application Firewall (WAF) – это важная составляющая системы защиты для
крупной организации, у которой есть опубликованные для большого количества пользователей
веб-ресурсы. Более того, системы подобного рода зачастую регламентируются специальными
нормативными и практическими документами, которые уже упоминались (например, стандарты PCI
DSS, в которых прописано, что для ряда случаев необходимо использовать WAF для обеспечения
защиты карточных сервисов).

Что касается сервисов, которые смотрят во внешний мир и подвержены публичному доступу, то
однозначно понятно, что их нужно защищать. А как быть с рядовыми пользователями,
работающими в организации? Являются ли они потенциальными нарушителями? Стоит ли
защищать их или защищаться от них?

Рядовой пользователь – это точно такой же потенциальный нарушитель, который может


скомпрометировать нашу организацию или какой-то ее информационный ресурс с последующим
развитием этих событий. Каким образом можно защитить пользователя и защититься от
пользователя? Способов существует несколько.

Первое – правильная антивирусная программа. Антивирусы существуют еще с 90-х годов.


Антивирусов существовало не так много и ими было легко просканировать дискету, с которой мы
загружаем файлы. Более того этого было достаточно, чтобы убедиться, что наш компьютер чист и
на нем нет никаких вирусов. Сегодня, когда сети и системы разрослись, вирусы тоже
модифицировались и усовершенствовались. Поэтому простое антивирусное сканирование уже
бывает недостаточным. Сегодня класс программ, которые обеспечивают защиту рабочих мест,
называется endpoint protection – системы защиты конечных точек.

Конечная точка – это устройство, которое работает с информационным ресурсом. Это может быть
не только стационарный компьютер, но и сервер, и переносное устройство, и мобильный телефон,
и планшет – что-то, что находится непосредственно между пользователем и сетью. Для его защиты
применяют, проводя аналогию с прошлым, антивирусную программу. Но сегодня антивирус оброс
дополнительными функциями. Например, он и позволяет осуществить антивирусную фильтрацию,
и содержит функции веб-фильтрации на рабочем месте. Таким образом легко обеспечить и
родительский контроль, и реализовать функции безопасности с целью ограничения, например, тех
ресурсов, на которые сотрудник может заходить в течение рабочего дня для повышения его
продуктивности. Помимо веб-фильтрации в составе решения по защите конечной точки есть также
контроль приложений – определение и управление работающими с сетью программами.