Как защитить критичный сегмент: актуальные сценарии
Решение InfoDiode сертифицировано ФСТЭК и обеспечивает реализацию планов по импортозамещению.
Наиболее разрушительные современные атаки имеют целенаправленный и многоступенчатый характер, и для их успеха важно наличие технической возможности организации канала удалённого управления системой-жертвой, например, за счёт фишинга. Также весьма болезненным для организаций является факт утечки данных из внутренних ИТ-систем, последующая публикация или продажа украденных данных в DarkNet наносит существенный ущерб.
СЕГМЕНТАЦИЯ
Распространённый способ недопущения несанкционированного доступа – надёжная сегментация сети и отделение критичных сегментов от общей сетевой инфраструктуры организации. В ряде организаций к критичным сегментам относят:
- сегменты размещения АРМ КБР, сегменты размещения АРМ ДБО с банками-корреспондентами;
- сегменты процессинга, хранения резервных копий, а также различные внутренние ИТ-системы, доступ к которым извне недопустим ни при каких обстоятельствах;
- часто встречается практика отделения систем разработки и тестирования от продуктивных систем.
ВЧЕРАШНИЙ ДЕНЬ
Многие компании для таких сегментов применяют физическую изоляцию с помощью «воздушного зазора», и для переноса данных между сегментами используются съёмные носители. Изоляция с помощью «воздушного зазора», наряду с очевидными достоинствами с точки зрения безопасности, имеет ряд недостатков:
- затрудняет автоматизацию ИТ и влечёт за собой дублирование АРМ и серверов;
- при необходимости передачи данных между сегментами приходится использовать съёмные носители, что, в свою очередь, замедляет процессы и имеет высокую трудоёмкость, если нужно передавать значительные объёмы информации;
- передача данных в реальном времени невозможна;
- провоцирует эксплуатирующий персонал на создание «скрытых» соединений между сегментами.
Какие-то организации в силу традиций продолжают мучения с «воздушным зазором», но всё больше наших заказчиков предпочитают идти в ногу со временем и ищут пути повышения удобства и скорости обмена информацией между сегментами с учётом требований по обеспечению ИБ. В данном случае сочетать высокую степень изоляции на физическом уровне и удобство передачи данных по сети позволяют устройства однонаправленной передачи данных.
РЕШЕНИЕ АМТ INFODIODE
АПК AMT InfoDiode предназначен для надёжного и гарантированного разделения критичных сегментов на физическом уровне модели OSI, при этом обеспечивая возможность однонаправленной передачи информации из одного сегмента в другой. Для передачи данных поддерживаются протоколы файлового обмена (CIFS, FTP), протокол передачи почты SMTP, а также протоколы, использующие в качестве транспорта UDP (SNMP, Syslog, NTP, Netflow и т. д.).
Рисунок 1. АПК AMT InfoDiode позволяет надёжно отделить критичные сегменты от остальной СПД и одновременно обеспечить необходимые взаимодействия
Данное решение (рис. 1) находит своё применение в финансовых организациях и позволяет надёжно отделить критичные сегменты от остальной СПД и одновременно обеспечить необходимые взаимодействия. Решение сертифицировано ФСТЭК России.
РЕАЛЬНЫЕ СЦЕНАРИИ ДЛЯ ФИНАНСОВОЙ ОТРАСЛИ
В настоящее время есть несколько практических кейсов, в которых финансовые организации используют AMT InfoDiode для решения задач обеспечения необходимого уровня защиты.
Доставка в защищаемый сегмент информации от новостных агентств (Reuters, Bloomberg) и биржевых площадок через Интернет без риска утечки информации из защищаемого сегмента (рис. 2). Реализация данного подхода успешно осуществлена в инфраструктуре одного из заказчиков АМТ-ГРУП. В защищаемом сегменте размещаются АРМ аналитиков, для работы которых требуется одновременный доступ к данным во внутренних бизнес-системах и оперативная сводка новостей от Reuters. При этом, учитывая высокую ценность результатов работы аналитиков и значимость данных, с которыми они работают, организации требуется исключить утечку данных из сегмента АРМ аналитиков.
Рисунок 2. Доставка в защищаемый сегмент информации от новостных агентств (Reuters, Bloomberg) и биржевых площадок через Интернет без риска утечки информации из защищаемого сегмента
Отделение сегмента разработки ПО от продуктивной среды (рис. 3), при этом передача дистрибутивов и образов ПО осуществляется через InfoDiode без риска передачи продуктивных данных в сегмент разработки. Данный случай успешно реализован для финансовой организации, имеющей большое количество ИТ-систем с ПО собственной разработки. После успешного тестирования обновлённых пакетов в среде разработки и тестирования осуществляется загрузка пакетов в продуктивный сегмент через AMT InfoDiode по протоколам CIFS и FTPS.
Рисунок 3. Отделение сегмента разработки ПО от продуктивной среды
Работа контакт-центра (рис. 4). Операторы контакт-центра, осуществляющие обзвон, при коммуникации с клиентами работают с репликой информации из базы данных. Необходимые им данные периодически выгружаются из основной БД продуктивного сегмента через InfoDiode. Таким образом, исключается возможность негативного воздействия на серверы продуктивного сегмента со стороны операторов.
Рисунок 4. Работа контакт-центра
Как видно из приведённых примеров, можно констатировать всё больший интерес организаций финансовой отрасли к повышению уровня защищённости своих ИТ-систем и бизнес-процессов. Одновременно наблюдается расширение сценариев применения систем однонаправленной передачи данных для реализации более серьёзных мер защиты и одновременного повышения удобства пользователей после их внедрения (по сравнению с «воздушным зазором»).
Не менее важно наличие разнообразных сценариев применения, успешно реализованных на практике в инфраструктуре финансовых организаций. А также факт, что решение InfoDiode сертифицировано ФСТЭК и обеспечивает реализацию планов по импортозамещению.
.jpg)