exp-sec

мнение экспертов/безопасность сети

A: Как сделать корпоративную сеть безопасной?

вписать «безопасность» в графу расходов и нанять лучших специалистов из всех имеющихся, а для подтверждения их компетентности периодически устраивать проверки в виде «тестов на проникновение», включающих в себя не только непосредственные сетевые атаки, но так же социальную инженерию, попытку подкупа сотрудников, и т. д. это, конечно, не гарантирует 100% защищенности, но по крайней мере ликвидирует наиболее слабые места в линии обороны.

A: Где баланс между простотой и надежностью?

чем проще система, тем меньше шансов у нее сломаться, с другой стороны, отказ предельно простой системы как правило фатален, а система с избыточностью способна выдержать даже значительные разрушения, сохраняя работоспособность при выходе из строя одного или нескольких узлов. в полной мере это относится и к безопасности. если сеть разделена на несколько зон, то атаковать ее намного сложнее, чем если в системе имеется только один брандмауэр, защищающий внешний периметр. с другой стороны, всякий защитный комплекс (брандмауэр, антивирус, etc) сам по себе является потенциальным объектом атаки. чем сложнее система защиты, тем сложнее убедиться, что в ней нет дыр, и тем выше вероятность проникновения хакеров сквозь охраняемый периметр. поиск баланса — очень сложная задача, не имеющая решений «общего вида» и требующая, чтобы каждый случай рассматривался индивидуально. популярные решение «из коробки» зарекомендовали себя не самым лучшим образом, а все потому, что в каждом конкретном случае они оказываются либо недостаточными, либо избыточными.

A: Достаточно ли защиты по периметру с использованием фаерволов и VPN-устройств?

ответ отрицательный. если мы говорим о корпоративной сети, то никакого «периметра» у нее не существует и приходится иметь дело со сложной гетерогенной структурой, практически не поддающейся централизованному управлению и практически всегда в такой сети обнаруживаются уязвимые узлы, администраторы которых вовремя не установили заплатки или допустили другие фатальные ошибки.

A: Как бороться с «инсайдерами»?

бороться — сложно, можно даже сказать, практически невозможно. легче не допустить их появления. лояльность сотрудников к компании в значительной мере зависит от отношения компании к сотрудникам и если в них видят безликую рабочую силу, то и «рабочая сила» видит в компании только безликое сооружение из стекла и бетона, «сливая» конфиденциальную информацию при первой возможности на «сторону». причем, инсайдеры зачастую обнаруживаются в самых верхних эшелонах власти. бороться с ними? под их руководством? это, случайно, не первоапрельский номер?

A: Что сейчас представляет основную угрозу сетям?

Windows Vista, полностью переписанный сетевой стек которой таит множество еще неизвестных дыр, а поддержка инкапсуляции IPv6 «ослепляет» множество существующих защитных систем и брандмауэры в том числе. В Висте уже обнаружен целый ряд фатальных дыр, вынудивших Microsoft на досрочный выпуск пакета обновлений и это при том, что Виста только-только появилась и хакеры ей только начали заниматься.