Между доменами. Однонаправленные шлюзы обеспечивают передачу данных только в одном направлении, что исключает возможность обратной передачи данных и физически предотвращает утечки

Между доменами. Однонаправленные шлюзы обеспечивают передачу данных только в одном направлении, что исключает возможность обратной передачи данных и физически предотвращает утечки

Рост объемов информации, циркулирующей между объектами критической инфраструктуры, а также между чувствительными объектами и  сегментами и сетями (доменами) различного уровня доверия уже сегодня требует дополнительного контроля для предотвращения утечек защищаемых данных, повышения эффективности применения комплексных решений по защите информации.

Наличие в информационной инфраструктуре действенных инструментов контроля в рамках междоменного взаимодействия крайне важно для достижения следующих ключевых целей:

1. Защита конфиденциальной информации
2. Соблюдение нормативных требований
3. Защита от кибератак
4. Предотвращение утечек в будущем и повышение уровня защищенности

СТРАТЕГИЧЕСКАЯ ЗАДАЧА

Контроль утечек данных из критических сегментов — не только техническая необходимость, но и стратегическая задача для значительного количества современных организаций и предприятий. Однако существующие средства предотвращения утечек достаточно узконаправлены и применяются ограниченно. Несмотря на то, что каждый тип СЗИ может  эффективно выполнять свои функции на определенном технологическом участке, совместное гармонизированное использование СЗИ разных типов для предотвращения утечек реализуется достаточно редко, гораздо чаще какая-то одна задача решается одним классом СЗИ, а другие задачи — организационными мерами контроля за персоналом силами внутренних служб безопасности. 

ОСНОВНЫЕ ОГРАНИЧЕНИЯ

Рассмотрим некоторые существующие ограничения применения СЗИ на примере их классов, наиболее часто используемых для решения указанных выше задач: межсетевых экранов (firewalls, МСЭ) и DLP (Data Loss Prevention), являющихся важными и значимыми компонентами системы защиты информации. Помимо того, что «в связке» на практике они применяются не так уж часто,  их автономное применение, что более важно, существенно ограничивает их возможности, что делает их недостаточными для эффективного контроля за утечками данных в ходе междоменного обмена.

Можно выделить следующие основные проблемы автономного применения межсетевых экранов в контексте междоменного обмена:

• Ограниченность в анализе данных. Межсетевые экраны предназначены для контроля и фильтрации сетевого трафика на основе правил (например, IP-адресов, портов, протоколов). Они не анализируют содержимое передаваемых данных, что делает их уязвимыми для утечек, скрытых в разрешенном трафике.
• Отсутствие защиты от инсайдеров. Межсетевые экраны не могут предотвратить утечки, вызванные действиями авторизованных пользователей, которые имеют доступ к данным и передают их через разрешенные каналы (например, электронную почту, файловый обмен).
• Уязвимости программных решений. Современные методы атак, такие как туннелирование через разрешенные протоколы (например, DNS, HTTPS), демонстрируют системный и планомерных обход функций защиты межсетевых экранов.

DLP-системы при автономном применении в контексте междоменного обмена также имеют определенные проблемы:

• Большая зависимость от контекста. DLP-системы анализируют содержимое данных и пытаются выявить конфиденциальную информацию. Однако они могут пропускать утечки, если данные зашифрованы, замаскированы или передаются в нестандартных форматах. Поэтому обмен с применением таких решений должен быть максимально типизирован и не должен организовываться только на уровне организации соединений L3-L5 модели OSI.
• Ложные срабатывания и пропуски. DLP-системы сталкиваются с проблемой ложных срабатываний (блокировка легитимных данных) и пропусков (необнаружение реальных утечек), особенно, в сложных сценариях передачи данных. Поэтому целесообразно иметь хотя бы базовые дополнительные меры на средствах междоменного обмена (дополнительные проверки на тип, размер файла, интенсивность обмена, регламентное время передачи), которые могут компенсировать возможные ложные позитивные или негативные срабатывания.

В случае использования интегрированных решений (МСЭ + DLP) полученные схемы междоменного обмена также не будут лишены недостатков:

• Отсутствие физической изоляции. Межсетевые экраны и DLP-системы работают на программном уровне и не обеспечивают физической изоляции сетей. Злоумышленник или вредоносное ПО может обойти эти средства, используя уязвимости в программном обеспечении или неправильно настроенные правила.
• Не защищают от обратного трафика. Межсетевые экраны и DLP системы не могут полностью исключить возможность обратного подключения к защищенной сети, что делает их уязвимыми к атакам извне, и, в конечном итоге, позволяет организовать атаку на саму DLP-систему в целях ее отключения или компрометации.
• Сложность управления в распределенных сетях. В сложных сетевых инфраструктурах (например, с множеством филиалов или использованием облачных сервисов) обеспечение  контроля за всеми каналами передачи данных становится крайне сложной задачей.

ПРЕИМУЩЕСТВА, КОТОРЫЕ МОЖНО ИСПОЛЬЗОВАТЬ

С учетом сказанного выше крайне важно выделить те преимущества, которыми обладают выходящие на рынок междоменные решения на базе однонаправленных шлюзов:

• Физическая изоляция. Однонаправленные шлюзы обеспечивают передачу данных только в одном направлении, что исключает возможность обратной передачи данных и физически предотвращает утечки.
• Усиленная защита от инсайдеров. Даже если авторизованный пользователь попытается передать данные, однонаправленный шлюз в функциональности междоменного решения (МДР) не позволит этому произойти, если передача нарушает политики безопасности (тип, размер файла, регламент передачи, интенсивность трафика) и передаст информацию об инциденте подразделению ИБ.
• Устойчивость к обходу при интеграции с DLP. Однонаправленные шлюзы невозможно обойти с помощью программных методов, так как они работают на аппаратном уровне, что ограничивает эксплуатацию иных протоколов, кроме прямо разрешенных. В таких решениях однонаправленные шлюзы исключают возможность обратного подключения к защищенной сети, что делает их устойчивыми к атакам извне. Это особенно важно для критически важных инфраструктур, таких как промышленные системы, сети государственных учреждений, финансовых организаций. DLP-системы, интегрированные с такими шлюзами, получают еще один эшелон защиты. МСЭ также могут быть интегрированы с DLP-системами для дополнительного анализа передаваемых данных. Однако общие преимущества решений на базе однонаправленных шлюзов гораздо выше за счет более высокой стойкости получаемой системы к удаленным векторам атак. В частности, реализация удаленного вектора для компрометации DLP, которая находится в закрытом сегменте («перед диодом»), невозможна.
• Повышение соответствия требованиям стандартов и законодательства («духу закона, а не только букве»). Нормативные акты (например, ФЗ-152) требуют строгого контроля над передачей данных. Использование однонаправленных шлюзов в сочетании с DLP-системами помогает организациям более полно соответствовать этим требованиям, обеспечивая контроль как физического, так и логического доступа к данным.
• Эффективное управление инцидентами. DLP-системы, интегрированные с однонаправленными шлюзами, могут оперативно блокировать попытки передачи информации, которые нарушают политики безопасности. Дополнительными преимуществом таких срабатываний являются четкие и лаконичные данные журналирования и отчеты самих DLP-систем. Такие предметные сведения могут быть более системно и оперативно использованы специалистами ИБ для анализа инцидентов и улучшения политик безопасности.

АКТУАЛЬНОСТЬ ДЛЯ КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ (ВКЛЮЧАЯ КИИ)

Очевидно, несмотря на то, что межсетевые экраны и DLP-системы сами по себе являются важными инструментами защиты, они не обеспечивают полного контроля над утечками данных из-за своих ограничений. Однонаправленные шлюзы дополняют эти средства, обеспечивая изоляцию потока данных на аппаратном уровне и исключая возможность обхода защиты. Интеграция однонаправленных шлюзов с системами предотвращения утечек информации (DLP) предоставляет ряд значительных преимуществ, создавая мощный механизм предотвращения утечек данных, в котором «физическая» изоляция сочетается с продвинутым анализом передаваемого контента. Это особенно актуально для организаций с повышенными требованиями к безопасности, в том числе объектов критической информационной инфраструктуры, в системно-значимых организациях.

Реклама. АО «АМТ-ГРУП», ИНН: 7703025499,  Erid: 2Vfnxxsk7ax