Analyse des menaces de sécurité réseau. Introduction à la sécurité des réseaux. Questions d'actualité sur la sécurité des réseaux de transmission de données d'entreprise. Les principales menaces, méthodes et moyens d'assurer la sécurité du réseau.

Les méthodes de protection des informations dans l'entreprise, ainsi que les méthodes d'obtention, sont en constante évolution. De nouvelles offres d'entreprises fournissant des services de sécurité de l'information apparaissent régulièrement. Bien sûr, il n'y a pas de panacée, mais il existe plusieurs étapes de base pour construire la protection d'un système d'information d'entreprise, auxquelles vous devez absolument prêter attention.

Beaucoup connaissent probablement le concept de protection profonde contre le piratage d'un réseau d'information. Son idée principale est d'utiliser plusieurs niveaux de défense. Cela permettra, au minimum, de minimiser les dommages liés à une éventuelle violation du périmètre de sécurité de votre système d'information.
Ensuite, nous examinerons les aspects généraux de la sécurité informatique et créerons également une certaine liste de contrôle qui servira de base à la construction de la protection de base d'un système d'information d'entreprise.

1. Pare-feu (pare-feu, pare-feu)

Un pare-feu ou un pare-feu est la première ligne de défense contre les intrus.
Selon le niveau de contrôle d'accès, on distingue les types de pare-feu suivants :

Dans le cas le plus simple, le filtrage des paquets réseau s'effectue selon les règles établies, c'est-à-dire en fonction des adresses source et destination des paquets réseau, des numéros de port réseau ;
Un pare-feu avec état. Il surveille les connexions actives et supprime les paquets falsifiés qui violent les spécifications TCP/IP ;
Pare-feu au niveau de l'application. Filtres basés sur l'analyse des données d'application transmises dans le paquet.

L'attention accrue portée à la sécurité des réseaux et le développement du commerce électronique ont conduit au fait qu'un nombre croissant d'utilisateurs utilisent des connexions cryptées (SSL, VPN) pour leur protection. Cela rend assez difficile l'analyse du trafic passant par les pare-feu. Comme vous pouvez le deviner, les mêmes technologies sont utilisées par les développeurs de logiciels malveillants. Les virus qui utilisent le chiffrement du trafic sont devenus pratiquement impossibles à distinguer du trafic utilisateur légitime.

2. Réseaux privés virtuels (VPN)

Les situations où un employé a besoin d'accéder aux ressources de l'entreprise depuis des lieux publics (Wi-Fi dans un aéroport ou un hôtel) ou depuis son domicile (vos administrateurs ne contrôlent pas le réseau domestique des employés) sont particulièrement dangereuses pour les informations de l'entreprise. Pour les protéger, il vous suffit d'utiliser des tunnels VPN cryptés. L'accès direct au bureau à distance (RDP) sans cryptage est hors de question. Il en va de même pour l'utilisation de logiciels tiers : Teamviewer, Aammy Admin, etc. pour accéder au réseau de travail. Le trafic via ces programmes est crypté, mais passe par les serveurs des développeurs de ce logiciel hors de votre contrôle.

Les inconvénients d'un VPN incluent la complexité relative du déploiement, des coûts supplémentaires pour les clés d'authentification et une augmentation de la bande passante Internet. Les clés d'authentification peuvent également être compromises. Les appareils mobiles volés d'une entreprise ou d'employés (ordinateurs portables, tablettes, smartphones) avec des paramètres de connexion VPN préconfigurés peuvent devenir un trou potentiel pour un accès non autorisé aux ressources de l'entreprise.

3. Systèmes de détection et de prévention des intrusions (IDS, IPS)

Le système de détection d'intrusion (IDS) est un outil logiciel ou matériel conçu pour détecter les faits d'accès non autorisé à un système informatique (réseau) ou de contrôle non autorisé d'un tel système. Dans le cas le plus simple, un tel système permet de détecter les analyses de ports réseau sur votre système ou les tentatives de connexion au serveur. Dans le premier cas, cela indique une première reconnaissance par l'attaquant, et dans le second, une tentative de piratage de votre serveur. Vous pouvez également détecter les attaques visant à élever les privilèges sur le système, l'accès non autorisé à des fichiers importants et les activités de logiciels malveillants. Les commutateurs réseau avancés permettent de connecter des systèmes de détection d'intrusion à l'aide de la mise en miroir des ports ou des prises de trafic.

Le système de prévention des intrusions (IPS) est un système de sécurité logiciel ou matériel qui bloque activement les intrusions dès qu'elles sont détectées. Si une intrusion est détectée, le trafic réseau suspect peut être automatiquement bloqué et une notification à ce sujet est immédiatement envoyée à l'administrateur.

4. Protection antivirus

Les logiciels antivirus constituent aujourd'hui la principale ligne de défense de la plupart des entreprises. Selon la société d'études Gartner, le volume du marché des logiciels antivirus s'élevait à 19,14 milliards de dollars en 2012. Les principaux consommateurs sont le segment des moyennes et petites entreprises.

Tout d'abord, la protection antivirus est destinée aux appareils clients et aux postes de travail. Les versions commerciales des antivirus incluent des fonctions de gestion centralisée pour la transmission des mises à jour des bases de données antivirus aux appareils clients, ainsi que la possibilité de configurer de manière centralisée les politiques de sécurité. La gamme des sociétés antivirus comprend des solutions spécialisées pour les serveurs.
Étant donné que la plupart des infections de logiciels malveillants surviennent à la suite d'actions de l'utilisateur, les suites antivirus offrent des options de protection complètes. Par exemple, la protection des programmes de courrier électronique, les salles de discussion, la vérification des sites visités par les utilisateurs. De plus, les packages antivirus incluent de plus en plus des pare-feu logiciels, des mécanismes de défense proactifs et des mécanismes de filtrage du courrier indésirable.

5. Listes blanches

Qu'est-ce que la liste blanche ? Il existe deux approches principales de la sécurité de l'information. La première approche suppose que le système d'exploitation est autorisé à exécuter toutes les applications par défaut, si elles n'ont pas été préalablement mises sur liste noire. La deuxième approche, en revanche, suppose que seuls les programmes qui étaient précédemment inclus dans la "liste blanche" sont autorisés à s'exécuter et que tous les autres programmes sont bloqués par défaut. La deuxième approche de la sécurité est, bien sûr, plus préférable dans le monde de l'entreprise. Les listes blanches peuvent être créées à l'aide des outils intégrés du système d'exploitation ou d'un logiciel tiers. Les logiciels antivirus proposent souvent cette fonctionnalité dans leur composition. La plupart des applications antivirus qui offrent un filtrage de liste blanche permettent une configuration initiale très rapide avec une attention minimale de l'utilisateur.

Cependant, il peut y avoir des situations dans lesquelles les dépendances des fichiers de programme sur liste blanche n'ont pas été correctement identifiées par vous ou le logiciel antivirus. Cela fera planter l'application ou ne s'installera pas correctement. De plus, la liste blanche est impuissante contre les attaques qui exploitent les vulnérabilités du traitement des documents par les programmes de la liste blanche. Vous devez également faire attention au maillon le plus faible de toute protection : les employés eux-mêmes pressés peuvent ignorer l'avertissement des logiciels antivirus et ajouter des logiciels malveillants à la liste blanche.

6. Filtrage des spams

Les courriers indésirables sont souvent utilisés pour effectuer des attaques de phishing qui sont utilisées pour injecter un cheval de Troie ou d'autres logiciels malveillants dans un réseau d'entreprise. Les utilisateurs qui traitent quotidiennement de grandes quantités d'e-mails sont plus sensibles aux e-mails de phishing. Par conséquent, la tâche du service informatique de l'entreprise est de filtrer le maximum de spam du flux de messagerie général.

Les principaux moyens de filtrer les spams :

Fournisseurs spécialisés de services de filtrage de courrier indésirable ;
Logiciel de filtrage des spams sur nos propres serveurs de messagerie ;
Solutions matérielles spécialisées déployées dans un centre de données d'entreprise.

7. Support logiciel à jour

Les mises à jour logicielles en temps opportun et l'application des derniers correctifs de sécurité sont un élément important pour protéger votre réseau d'entreprise contre les accès non autorisés. Les fournisseurs de logiciels ne fournissent généralement pas d'informations complètes sur la faille de sécurité nouvellement découverte. Cependant, une description générale de la vulnérabilité est suffisante pour que les cybercriminels écrivent un logiciel pour exploiter cette vulnérabilité littéralement en quelques heures après la publication d'une description d'un nouveau trou et d'un correctif.
En fait, il s'agit d'un problème assez important pour les petites et moyennes entreprises, car une large gamme de produits logiciels de différents fabricants est généralement utilisée. Souvent, les mises à jour de l'ensemble du parc de logiciels ne reçoivent pas l'attention voulue, et c'est pratiquement une fenêtre ouverte dans le système de sécurité de l'entreprise. Actuellement, un grand nombre de logiciels sont mis à jour indépendamment des serveurs du fabricant et cela supprime une partie du problème. Pourquoi se séparer ? Car les serveurs du fabricant peuvent être piratés et, sous couvert de mises à jour légales, vous recevrez de nouveaux malwares. Et aussi les fabricants eux-mêmes publient parfois des mises à jour qui perturbent le fonctionnement normal de leurs logiciels. Dans les domaines critiques de l'entreprise, c'est inacceptable. Pour éviter de tels incidents, toutes les mises à jour reçues, d'une part, doivent être appliquées immédiatement après leur publication, et d'autre part, elles doivent être soigneusement testées avant d'être appliquées.

8. Sécurité physique

La sécurité physique d'un réseau d'entreprise est l'un des facteurs les plus importants qui ne peut être surestimé. Ayant un accès physique à un périphérique réseau, un attaquant, dans la plupart des cas, accédera facilement à votre réseau. Par exemple, s'il existe un accès physique au commutateur et que le réseau ne filtre pas les adresses MAC. Bien que le filtrage MAC ne vous sauvera pas dans ce cas. Un autre problème est le vol ou la négligence des disques durs après leur remplacement sur un serveur ou un autre appareil. Étant donné que les mots de passe qui s'y trouvent peuvent être déchiffrés, les armoires et les salles de serveurs ou les boîtiers d'équipement doivent toujours être protégés de manière fiable contre les intrus.

Nous n'avons abordé que quelques-uns des aspects de sécurité les plus courants. Il est également important de prêter attention à la formation des utilisateurs, à l'audit indépendant périodique de la sécurité de l'information, à la création et au respect d'une politique de sécurité de l'information fiable.
Veuillez noter que la protection de votre réseau d'entreprise est un sujet complexe en constante évolution. Vous devez être sûr que l'entreprise ne dépend pas d'une ou deux lignes de défense. Essayez toujours de vous tenir au courant des dernières informations et des nouvelles solutions sur le marché de la sécurité de l'information.

Bénéficiez d'une protection fiable de votre réseau d'entreprise dans le cadre du service "entretien des ordinateurs d'entreprise" à Novossibirsk.

Si l'on considère le système de sécurité de l'information de toute grande entreprise, il ne s'agit pas seulement d'un antivirus, mais également de plusieurs autres programmes de protection dans toutes les directions. Le temps des solutions de sécurité informatique simples est révolu depuis longtemps.

Bien entendu, la base d'un système général de sécurité de l'information pour toute organisation est la protection d'un poste de travail standard contre les virus. Et ici, la nécessité d'utiliser un antivirus reste inchangée.

Mais les exigences en matière de sécurité d'entreprise en général ont changé. Les entreprises ont besoin de solutions complètes de bout en bout qui peuvent non seulement protéger contre les menaces les plus complexes d'aujourd'hui, mais aussi garder une longueur d'avance.

"De plus en plus de grandes entreprises construisent un système de sécurité basé sur le principe de la défense en profondeur."

De plus, les échelons antérieurs étaient alignés sur divers éléments de l'infrastructure informatique, mais désormais, la protection à plusieurs niveaux devrait être égale à des éléments individuels de l'environnement informatique, principalement sur les postes de travail et les serveurs.

Quelles menaces ont été rencontrées par les entreprises en 2014

En termes de menaces, les attaques ciblées contre les entreprises et les structures gouvernementales sont devenues un énorme problème de sécurité de l'information ces dernières années. De nombreuses techniques utilisées par les pirates pour attaquer les utilisateurs à domicile sont désormais également appliquées aux entreprises.

Ceux-ci incluent des chevaux de Troie bancaires modifiés qui ciblent les employés des services financiers et des services comptables, et divers programmes de ransomware qui ont commencé à fonctionner au sein des réseaux d'information d'entreprise, et l'utilisation de méthodes d'ingénierie sociale.

De plus, les vers de réseau ont gagné en popularité et, pour les supprimer, l'ensemble du réseau de l'entreprise doit être arrêté. Si un problème similaire est rencontré par les entreprises avec un grand nombre de succursales situées dans des fuseaux horaires différents, alors toute interruption du réseau entraînera inévitablement des pertes financières.

Selon une étude menée par Kaspersky Lab en 2014 auprès de spécialistes de la sécurité de l'information, les entreprises russes sont le plus souvent confrontées à des

logiciels malveillants,
courrier indésirable (spam),
tentatives d'entrée non autorisée dans le système par hameçonnage.
vulnérabilités des logiciels installés,
risques liés au comportement des employés de l'entreprise.

Le problème est aggravé par le fait que les cybermenaces sont loin d'être statiques : elles se multiplient chaque jour, se diversifient et se complexifient. Pour mieux comprendre la situation actuelle dans le domaine de la sécurité de l'information et les conséquences auxquelles peut conduire même un seul incident informatique, présentons le tout en chiffres et faits obtenus sur la base des données de Kaspersky Lab sur l'analyse des événements de 2014 .

Statistiques sur les cybermenaces

Soit dit en passant, ce sont les appareils mobiles qui continuent d'être un « casse-tête » distinct pour les spécialistes de la sécurité de l'information aujourd'hui. L'utilisation de smartphones et tablettes personnels à des fins professionnelles est déjà autorisée dans la plupart des organisations, mais une bonne gestion de ces appareils et leur inclusion dans le système général de sécurité de l'information d'une entreprise n'est pas pratiquée partout.

"Selon les données de Kaspersky Lab, 99% des malwares spécialisés dans les appareils mobiles ciblent actuellement la plate-forme Android."

Pour comprendre d'où viennent un tel nombre de menaces et imaginer à quelle vitesse leur nombre augmente, il suffit de dire que chaque jour, les spécialistes de Kaspersky Lab traitent 325 000 échantillons de nouveaux malwares.

Les logiciels malveillants atteignent le plus souvent les ordinateurs des utilisateurs de deux manières :

par les vulnérabilités des logiciels juridiques
en utilisant des méthodes d'ingénierie sociale.

Bien sûr, une combinaison de ces deux techniques est très courante, mais les attaquants ne négligent pas non plus les autres astuces.

Les attaques ciblées, qui deviennent de plus en plus courantes, constituent une menace distincte pour les entreprises.

« L'utilisation de logiciels illégaux, bien sûr, augmente encore les risques de devenir une cible réussie pour une cyberattaque, principalement en raison de la présence de plus de vulnérabilités. »

Des vulnérabilités apparaissent tôt ou tard dans n'importe quel logiciel. Il peut s'agir d'erreurs lors du développement du programme, de versions obsolètes ou d'éléments de code individuels. Quoi qu'il en soit, le problème principal n'est pas la présence d'une vulnérabilité, mais sa détection et sa fermeture en temps opportun.

Soit dit en passant, récemment, et 2014 en est une preuve éclatante, les fabricants de logiciels commencent de plus en plus à fermer les vulnérabilités de leurs programmes. Cependant, les lacunes en matière d'applications sont encore abondantes et les cybercriminels les utilisent activement pour pénétrer les réseaux d'entreprise.

En 2014, 45% de tous les incidents de vulnérabilité ont été déclenchés par des failles dans le logiciel populaire Oracle Java.

De plus, au cours de la dernière année, il y a eu une sorte de tournant - une vulnérabilité a été découverte dans le protocole de cryptage populaire OpenSSL, appelé Heartbleed. Ce bogue permettait à un attaquant de lire le contenu de la mémoire et d'intercepter des données personnelles sur des systèmes utilisant des versions vulnérables du protocole.

OpenSSL est largement utilisé pour protéger les données transmises sur Internet (y compris les informations que l'utilisateur échange avec les pages Web, les e-mails, les messages dans les messageries Internet) et les données transmises sur les canaux VPN (Virtual Private Networks), donc les dommages potentiels de cette vulnérabilité étaient énormes. Il est possible que les attaquants utilisent cette vulnérabilité comme point de départ pour de nouvelles campagnes de cyberespionnage.

Victimes d'attaques

De manière générale, en 2014, le nombre d'organisations victimes de cyberattaques ciblées et de campagnes de cyberespionnage a été multiplié par près de 2,5. Au cours de l'année écoulée, près de 4 500 organisations dans au moins 55 pays, dont la Russie, sont devenues la cible de cybercriminels.

Des vols de données ont eu lieu dans au moins 20 secteurs différents de l'économie :

Etat,
télécommunication,
énergie,
recherche,
industriel,
soins de santé,
construction et autres entreprises.

Les cybercriminels ont eu accès à ces informations :

mots de passe,
des dossiers,
informations de géolocalisation,
données audio,
captures d'écran
instantanés de webcam.

Très probablement, dans certains cas, ces attaques ont été soutenues par des agences gouvernementales, tandis que d'autres ont été plus probablement menées par des groupes professionnels de cybermercenaires.

Ces dernières années, le Global Threat Research and Analysis Center de Kaspersky Lab a suivi les activités de plus de 60 groupes criminels responsables de cyberattaques dans le monde. Leurs participants parlent différentes langues : russe, chinois, allemand, espagnol, arabe, persan et autres.

Les conséquences des opérations et campagnes de cyberespionnage ciblées sont toujours graves. Ils aboutissent inévitablement au piratage et à l'infection du réseau de l'entreprise, à la perturbation des processus commerciaux, à la fuite d'informations confidentielles, notamment de propriété intellectuelle. En 2014, 98 % des entreprises russes ont été confrontées à des cyberincidents, dont les sources étaient généralement situées en dehors des entreprises elles-mêmes. De plus, 87 % des entreprises ont eu des incidents causés par des menaces internes.

"Le montant total des dommages pour les grandes entreprises s'élevait en moyenne à 20 millions de roubles pour chaque exemple réussi de cyberattaque."

Ce que les entreprises craignent et comment les choses sont vraiment

Chaque année, Kaspersky Lab mène des recherches afin de connaître l'attitude des informaticiens face aux problèmes de sécurité de l'information. Une étude de 2014 a montré que la grande majorité des entreprises russes, ou plutôt 91%, sous-estiment la quantité de malwares qui existent aujourd'hui. De plus, ils ne supposent même pas que le nombre de logiciels malveillants augmente constamment.

Curieusement, 13 % des professionnels de l'informatique ont déclaré qu'ils ne s'inquiétaient pas des menaces internes.

Cela est peut-être dû au fait que dans un certain nombre d'entreprises, il n'est pas d'usage de séparer les cybermenaces en externes et internes. En outre, certains des responsables russes de l'informatique et de la sécurité de l'information préfèrent toujours résoudre tous les problèmes liés aux menaces internes au moyen d'interdictions.

Cependant, si quelque chose est interdit à une personne, cela ne veut pas dire qu'elle ne le fait pas. Par conséquent, toute politique de sécurité, y compris l'interdiction, nécessite des outils de contrôle appropriés pour garantir que toutes les exigences sont respectées.

Quant aux types d'informations qui intéressent principalement les cybercriminels, l'étude a montré que les perceptions des entreprises et la réalité des faits sont assez différentes.

Ainsi, les entreprises elles-mêmes ont le plus peur de perdre

Informations client,
données financières et opérationnelles,
propriété intellectuelle.

Un peu moins de soucis d'affaires

des informations sur l'analyse des activités des concurrents,
Informations de paiement,
données personnelles des employés
données sur les comptes bancaires des entreprises.

« En fait, il s'avère que les cybercriminels volent le plus souvent les informations opérationnelles internes des entreprises (dans 58% des cas), mais seulement 15% des entreprises considèrent qu'il est nécessaire de protéger ces données en premier lieu.

Pour la sécurité, il est tout aussi important de réfléchir non seulement aux technologies et aux systèmes, mais aussi de prendre en compte le facteur humain : la compréhension des objectifs par les spécialistes qui construisent le système, et la compréhension de la responsabilité des employés qui utilisent les appareils.

Récemment, les attaquants s'appuient de plus en plus non seulement sur des moyens techniques, mais aussi sur les faiblesses des personnes : ils utilisent des méthodes d'ingénierie sociale qui aident à extraire presque toutes les informations.

Les employés qui retirent des données sur leur appareil doivent comprendre qu'ils portent exactement la même responsabilité que s'ils emportaient avec eux des copies papier des documents.

Le personnel de l'entreprise doit également être bien conscient que tout appareil moderne techniquement complexe contient des défauts qui peuvent être exploités par un attaquant. Mais pour profiter de ces défauts, un attaquant doit accéder à l'appareil. Par conséquent, lors du téléchargement de courrier, d'applications, de musique et d'images, vous devez vérifier la réputation de la source.

Il est important de se méfier des SMS et e-mails provocateurs et de vérifier la crédibilité de la source avant d'ouvrir un e-mail et de suivre un lien.

Pour que l'entreprise soit toujours protégée contre de telles actions accidentelles ou intentionnelles des employés, elle doit utiliser des modules pour protéger les données contre les fuites.

« Les entreprises doivent régulièrement se souvenir du travail avec le personnel : en commençant par l'amélioration des qualifications des employés informatiques et en terminant par des explications sur les règles de base pour travailler en toute sécurité sur Internet, quels que soient les appareils qu'ils utilisent pour s'y rendre. »

Par exemple, cette année, Kaspersky Lab a publié un nouveau module qui implémente des fonctions de protection contre les fuites de données -

Protection du cloud

De nombreuses grandes entreprises utilisent le cloud d'une manière ou d'une autre, en Russie le plus souvent sous la forme d'un cloud privé. Il est important de se rappeler ici que, comme tout autre système d'information créé par l'homme, les services cloud contiennent des vulnérabilités potentielles qui peuvent être exploitées par les auteurs de virus.

Par conséquent, lors de l'organisation de l'accès même à votre propre cloud, vous devez vous souvenir de la sécurité du canal de communication et des terminaux utilisés du côté des employés. Tout aussi importantes sont les politiques internes régissant les employés qui ont accès aux données dans le cloud, ou le niveau de confidentialité des informations pouvant être stockées dans le cloud, etc. L'entreprise doit formuler des règles transparentes :

quels services et services s'exécuteront à partir du cloud,
quoi - sur les ressources locales,
quelles informations doivent être placées dans les nuages,
ce qu'il faut garder "à la maison".

D'après l'article : L'heure des décisions « difficiles » : la sécurité dans le segment Entreprise.

Afin d'assurer la pérennité de l'entreprise, les services de sécurité se concentrent sur la sécurisation du périmètre du réseau, services accessibles depuis Internet. L'image d'un attaquant sombre prêt à attaquer les services publiés de l'entreprise de n'importe où dans le monde fait vraiment peur aux propriétaires d'entreprise. Mais à quel point est-ce juste, étant donné que les informations les plus précieuses ne se trouvent pas dans le périmètre de l'organisation, mais dans les profondeurs de ses réseaux d'entreprise ? Comment évaluer la proportionnalité de la protection des infrastructures contre les attaques externes et internes ?

"Un navire au port est sûr, mais les navires ne sont pas construits à cet effet"

Se sentir en sécurité est trompeur

Dans un contexte d'informatisation totale et de mondialisation, l'entreprise impose de nouvelles exigences aux réseaux d'entreprise ; flexibilité et indépendance des ressources de l'entreprise par rapport à ses utilisateurs finaux : les employés et les partenaires sont mis en avant. Pour cette raison, les réseaux d'entreprise d'aujourd'hui sont très éloignés de la notion traditionnelle d'isolement (bien qu'ils aient été définis comme tels à l'origine).

Imaginez un bureau : les murs protègent du monde extérieur, les cloisons et les murs divisent la surface totale en zones spécialisées plus petites : cuisine, bibliothèque, salles de service, lieux de travail, etc. La transition de zone à zone se produit à certains endroits - dans les portes, et, si nécessaire, il y est également contrôlé par des moyens supplémentaires : caméras vidéo, systèmes de contrôle d'accès, gardiens souriants… En entrant dans une telle pièce, on se sent en sécurité, il y a un sentiment de confiance et de bienveillance. Cependant, il faut admettre que ce sentiment n'est qu'un effet psychologique basé sur le "théâtre de la sécurité", lorsque le but des mesures prises est d'accroître la sécurité, mais en fait seule une opinion se fait sur son existence. Après tout, si un attaquant veut vraiment faire quelque chose, alors être au bureau ne deviendra pas une difficulté insurmontable, et peut-être même au contraire, il y aura des opportunités supplémentaires.

La même chose se produit sur les réseaux d'entreprise. Dans un environnement où il existe une possibilité d'être à l'intérieur d'un réseau d'entreprise, les approches classiques de la sécurité sont insuffisantes. Le fait est que les méthodes de protection sont construites sur la base d'un modèle de menace interne et visent à contrer les employés qui, accidentellement ou délibérément, mais sans qualification appropriée, violent la politique de sécurité. Mais que se passe-t-il s'il y a un hacker qualifié à l'intérieur ? Le coût de pénétration du périmètre du réseau d'une organisation dans le marché souterrain a un prix presque fixe pour chaque organisation et ne dépasse pas 500 $ en moyenne. Ainsi, par exemple, sur le marché noir des services de piratage de Dell pour avril 2016, la liste de prix suivante est affichée :

En conséquence, vous pouvez acheter le piratage d'une boîte aux lettres d'entreprise, dont le compte est susceptible de s'adapter à tous les autres services d'entreprise de l'entreprise en raison du principe commun de l'autorisation d'authentification unique. Ou achetez des virus polymorphes qui ne sont pas suivis par les antivirus et infectent les utilisateurs imprudents à l'aide de mailings de phishing, prenant ainsi le contrôle d'un ordinateur au sein du réseau de l'entreprise. Pour les périmètres de réseau bien protégés, les failles de la conscience humaine sont utilisées, par exemple, en achetant de nouveaux documents d'identification et en obtenant des données sur le travail et la vie personnelle d'un employé de l'organisation en ordonnant le cyber-espionnage, vous pouvez utiliser l'ingénierie sociale et obtenir des informations confidentielles .

Notre expérience des tests d'intrusion montre que le périmètre extérieur est dépassé dans 83 % des cas, et dans 54 % cela ne nécessite pas de formation hautement qualifiée. Dans le même temps, selon les statistiques, environ un employé sur cinq de l'entreprise est disposé à vendre délibérément ses informations d'identification, y compris à partir d'un accès à distance, simplifiant ainsi énormément le dépassement du périmètre du réseau. Dans de telles conditions, les attaquants internes et externes deviennent indiscernables, ce qui pose un nouveau défi pour la sécurité des réseaux d'entreprise.

Prenez les données critiques et ne les protégez pas

Au sein du réseau d'entreprise, les connexions à tous les systèmes sont surveillées et accessibles uniquement aux utilisateurs déjà authentifiés. Mais ce contrôle même s'avère être l'habituel « théâtre de la sécurité » évoqué plus haut, tant la situation réelle s'annonce très sombre, ce que confirment les statistiques de vulnérabilités des systèmes d'information des entreprises. Voici quelques-uns des principaux inconvénients des réseaux d'entreprise.

Mots de passe du dictionnaire

Curieusement, l'utilisation de mots de passe faibles est courante non seulement pour le personnel ordinaire de l'entreprise, mais aussi pour les administrateurs informatiques eux-mêmes. Ainsi, par exemple, souvent les mots de passe définis par le fabricant par défaut restent dans les services et équipements, ou la même combinaison élémentaire est utilisée pour tous les appareils. Par exemple, l'une des combinaisons les plus populaires est admin avec admin ou mot de passe. Les mots de passe courts composés de lettres minuscules de l'alphabet latin et les mots de passe numériques simples, tels que 123456, sont également populaires. Ainsi, vous pouvez rapidement forcer un mot de passe, trouver la combinaison correcte et accéder aux ressources de l'entreprise.

Stockage des informations critiques au sein du réseau en texte clair

Imaginez une situation : un attaquant a accédé au réseau interne, il peut y avoir deux scénarios pour le développement d'événements. Dans le premier cas, les informations sont stockées sous une forme ouverte et l'entreprise supporte immédiatement des risques sérieux. Sinon, les données sur le réseau sont cryptées, la clé est stockée à un endroit différent - et l'entreprise a la possibilité et le temps de résister à l'attaquant et de protéger les documents importants du vol.

Utilisation de versions obsolètes des systèmes d'exploitation et de leurs composants

Chaque fois qu'une mise à jour est publiée, un livre blanc est publié en même temps qu'il détaille les bogues et les bogues qui ont été corrigés dans la nouvelle version. Si un problème de sécurité est découvert, les attaquants commencent à rechercher activement le sujet, à trouver les bogues associés et à développer des outils de piratage sur cette base.

Jusqu'à 50 % des entreprises ne mettent pas à jour leur logiciel ou le font trop tard. Début 2016, le Royal Melbourne Hospital souffrait du fait que ses ordinateurs tournaient sous Windows XP. Frappant d'abord l'ordinateur du service de pathologie, le virus s'est rapidement propagé sur le réseau, bloquant pendant un certain temps le fonctionnement automatisé de l'ensemble de l'hôpital.

Utilisation d'applications professionnelles auto-développées sans contrôle de sécurité

La tâche principale de notre propre développement est la performance fonctionnelle. De telles applications ont un seuil de sécurité bas et sont souvent lancées dans des conditions de rareté des ressources et d'un support approprié de la part du fabricant. Le produit fonctionne réellement, effectue des tâches, mais en même temps, il est très facile de le pirater et d'accéder aux données nécessaires.

Manque de protection antivirus efficace et d'autres moyens de protection

On pense que ce qui est caché de l'extérieur est protégé, c'est-à-dire que le réseau interne est pour ainsi dire sûr. Les agents de sécurité surveillent de près le périmètre extérieur, et s'il est si bien gardé, le pirate interne n'y entrera pas. Et de fait, dans 88 % des cas, les entreprises ne mettent pas en place de processus de détection de vulnérabilité, il n'y a pas de systèmes de prévention des intrusions et de stockage centralisé des événements de sécurité. Pris ensemble, cela ne garantit pas efficacement la sécurité du réseau d'entreprise.

Dans le même temps, les informations stockées au sein du réseau de l'entreprise ont une grande importance pour le fonctionnement de l'entreprise : bases de clients dans les systèmes CRM et de facturation, indicateurs commerciaux critiques dans l'ERP, communication commerciale dans le courrier, flux de documents contenus sur portails et ressources de fichiers, etc. NS.

La frontière entre le réseau d'entreprise et le réseau public est devenue si floue qu'il est devenu très difficile et coûteux de contrôler pleinement sa sécurité. Après tout, ils n'utilisent presque jamais de contre-mesures contre le vol ou l'échange de comptes, la négligence d'un administrateur réseau, les menaces mises en œuvre via l'ingénierie sociale, etc. Ce qui pousse les attaquants à utiliser ces méthodes pour surmonter la protection externe et se rapprocher des infrastructures vulnérables avec des informations plus précieuses.

La solution peut être le concept de sécurité de l'information, dans lequel la sécurité des réseaux internes et externes est assurée sur la base d'un modèle de menace unique, et avec la probabilité de transformation d'un type d'attaquant en un autre.

Attaquants contre défenseurs - qui le prendra ?

La sécurité de l'information en tant qu'État n'est possible que dans le cas de l'insaisissable Joe - en raison de son inutilité. La confrontation entre attaquants et défenseurs se déroule à des niveaux fondamentalement différents. Les attaquants bénéficient d'une violation de la confidentialité, de la disponibilité ou de l'intégrité des informations, et plus ils sont efficients et efficaces, plus ils peuvent en tirer d'avantages. Les défenseurs, en revanche, ne bénéficient pas du tout du processus de sécurité ; toute étape est un investissement non remboursable. C'est pourquoi la gestion de la sécurité basée sur les risques s'est généralisée, dans laquelle l'attention des défenseurs se concentre sur les risques les plus coûteux (en termes d'évaluation des dommages) avec les coûts les plus bas pour les couvrir. Les risques dont le prix de chevauchement est supérieur à celui d'une ressource protégée sont volontairement acceptés ou assurés. L'objectif de cette approche est d'augmenter autant que possible le coût de la résolution de la moindre vulnérabilité de sécurité de l'organisation, les services critiques doivent donc être bien protégés, que cette ressource soit située dans le réseau ou dans le périmètre du réseau.

L'approche basée sur les risques n'est qu'une mesure forcée qui permet au concept de sécurité de l'information d'exister dans le monde réel. En fait, cela met les défenseurs dans une position difficile : ils jouent leur jeu avec les noirs, ne répondant qu'aux menaces émergentes.

Au stade initial du développement des technologies de réseau, les dommages causés par les virus et autres types d'attaques informatiques étaient faibles, car la dépendance de l'économie mondiale à l'égard des technologies de l'information était faible. À l'heure actuelle, dans le contexte de la forte dépendance des entreprises à l'égard des moyens électroniques d'accès et d'échange d'informations et du nombre sans cesse croissant d'attaques, les dommages causés par les plus petites attaques, entraînant une perte de temps informatique, s'élèvent à des millions de dollars, et les les dommages annuels totaux à l'économie mondiale s'élèvent à des dizaines de milliards de dollars.

Les informations traitées dans les réseaux d'entreprise sont particulièrement vulnérables, ce qui est facilité par :

une augmentation de la quantité d'informations traitées, transmises et stockées dans les ordinateurs ;
concentration dans des bases de données d'informations de divers niveaux d'importance et de confidentialité;
élargir l'accès du cercle d'utilisateurs aux informations stockées dans les bases de données et aux ressources du réseau informatique ;
une augmentation du nombre de postes de travail distants ;
utilisation généralisée de l'Internet mondial et de divers canaux de communication ;
automatisation de l'échange d'informations entre les ordinateurs des utilisateurs.

L'analyse des menaces les plus courantes auxquelles les réseaux d'entreprise câblés d'aujourd'hui sont exposés montre que les sources de menaces peuvent aller des intrusions non autorisées aux virus informatiques, et que l'erreur humaine est une menace de sécurité importante. Il convient de garder à l'esprit que les sources de menaces pour la sécurité peuvent être localisées à la fois à l'intérieur du système d'information de l'entreprise - sources internes, et à l'extérieur - sources externes. Cette division est tout à fait justifiée car pour une même menace (par exemple, le vol), les méthodes de riposte pour les sources externes et internes sont différentes. La connaissance des menaces possibles, ainsi que des vulnérabilités des systèmes d'information de l'entreprise est nécessaire pour sélectionner les moyens les plus efficaces d'assurer la sécurité.

Les plus fréquentes et les plus dangereuses (en termes d'importance des dommages) sont les erreurs involontaires commises par les utilisateurs, les opérateurs et les administrateurs système au service du système d'information de l'entreprise. Parfois, de telles erreurs entraînent des dommages directs (données mal saisies, erreur dans le programme qui a provoqué l'arrêt ou le crash du système), et parfois elles créent des points faibles qui peuvent être exploités par des attaquants (ce sont généralement des erreurs administratives).

Selon le National Institute of Standards and Technology (NIST) des États-Unis, 55 % des atteintes à la sécurité IP sont dues à des erreurs non intentionnelles. Travailler dans le SI global rend ce facteur tout à fait pertinent, et la source de dommages peut être à la fois les actions des utilisateurs de l'organisation et des utilisateurs du réseau global, ce qui est particulièrement dangereux. En figue. 2.4 est un camembert illustrant des statistiques sur les sources de failles de sécurité dans le système d'information de l'entreprise.

Le vol et la fraude arrivent en deuxième position en termes de dommages. Dans la plupart des cas enquêtés, les auteurs étaient des membres du personnel des organisations, qui connaissaient très bien les horaires de travail et les mesures de protection. La présence d'un puissant canal d'information de communication avec les réseaux mondiaux en l'absence d'un contrôle approprié sur son travail peut faciliter davantage de telles activités.

Malhonnête

Attaques extérieures

Offensé

Erreurs des utilisateurs et du personnel

4% de virus

Riz. 2.4. Sources de failles de sécurité

des employés

Problèmes

physique

Sécurité

Les employés offensés, même les anciens, connaissent l'ordre dans l'organisation et sont capables de nuire très efficacement. Par conséquent, lors du licenciement d'un employé, ses droits d'accès aux ressources d'information devraient être annulés.

Les tentatives délibérées d'obtenir une NSD par le biais de communications externes représentent environ 10 % de toutes les violations possibles. Bien que ce chiffre ne semble pas si significatif, l'expérience avec Interpe1 montre que presque tous les serveurs Interne1 sont exposés à des tentatives de pénétration plusieurs fois par jour. Les tests de l'Agence pour la protection des systèmes d'information (USA) ont montré que 88 % des ordinateurs présentent des faiblesses en termes de sécurité de l'information, qui peuvent être activement utilisées pour obtenir la NSD. Les cas d'accès à distance aux structures d'information d'une organisation doivent être considérés séparément.

Avant d'élaborer une politique de sécurité, il est nécessaire d'évaluer les risques pour l'environnement informatique de l'organisation et de prendre les mesures appropriées. Il est évident que les coûts de l'organisation pour contrôler et prévenir les menaces de sécurité ne doivent pas dépasser les pertes attendues.

Ces statistiques peuvent fournir des conseils à l'administration et au personnel de l'organisation où diriger les efforts pour réduire efficacement les menaces à la sécurité du réseau et du système de l'entreprise. Bien sûr, il est nécessaire d'aborder les problèmes de sécurité physique et les mesures pour réduire l'impact négatif sur la sécurité des erreurs humaines, mais en même temps, il est nécessaire de prêter la plus grande attention à la résolution des problèmes de sécurité du réseau pour empêcher les attaques contre l'entreprise. réseau et le système, à la fois de l'extérieur et de l'intérieur du système.

Menaces et vulnérabilités des réseaux d'entreprise filaires

Au stade initial du développement des technologies de réseau, les dommages causés par les virus et autres types d'attaques informatiques étaient faibles, car la dépendance de l'économie mondiale à l'égard des technologies de l'information était faible. A l'heure actuelle, dans le contexte d'une forte dépendance des entreprises vis-à-vis des moyens électroniques d'accès et d'échange d'informations et d'un nombre toujours croissant d'attaques, les dégâts des plus petites attaques entraînant une perte de temps informatique sont estimés à des millions de dollars, et le les dommages annuels totaux à l'économie mondiale s'élèvent à des dizaines de milliards de dollars.

Les informations traitées dans les réseaux d'entreprise sont particulièrement vulnérables, ce qui est facilité par :
une augmentation de la quantité d'informations traitées, transmises et stockées dans les ordinateurs ;
concentration dans des bases de données d'informations de divers niveaux d'importance et de confidentialité;
élargir l'accès du cercle d'utilisateurs aux informations stockées dans les bases de données et aux ressources du réseau informatique ;
une augmentation du nombre de postes de travail distants ;
utilisation généralisée de l'Internet mondial et de divers canaux de communication ;
automatisation de l'échange d'informations entre les ordinateurs des utilisateurs.

Selon le National Institute of Standards and Technology (NIST) des États-Unis, 55 % des atteintes à la sécurité IP sont dues à des erreurs non intentionnelles. Travailler dans l'IP mondiale rend ce facteur tout à fait pertinent, et la source de dommages peut être à la fois les actions des utilisateurs de l'organisation et des utilisateurs du réseau mondial, ce qui est particulièrement dangereux. En figue. 2.4 est un camembert illustrant des statistiques sur les sources de failles de sécurité dans le système d'information de l'entreprise.

Riz. 2.4. Sources de failles de sécurité

Les tentatives délibérées d'obtenir une NSD par le biais de communications externes représentent environ 10 % de toutes les violations possibles. Bien que ce chiffre ne semble pas si significatif, l'expérience avec Internet montre que presque tous les serveurs Internet sont soumis à des tentatives d'intrusion plusieurs fois par jour. Les tests de l'Agence pour la protection des systèmes d'information (USA) ont montré que 88 % des ordinateurs présentent des faiblesses en termes de sécurité de l'information, qui peuvent être activement utilisées pour obtenir la NSD. Les cas d'accès à distance aux structures d'information des organisations doivent être examinés séparément.