Как Сбербанк защищает свой сетевой периметр, рассказали сотрудники Центра кибербезопасности банка

Защита периметра корпоративной сети

В Санкт-Петербурге базируется филиал Сбербанка, который занимается одним из направлений кибербезопасности – безопасностью на периметре банка. В попытках обеспечить жизнеспособность компании службы безопасности фокусируют свое внимание на защите сетевого периметра – сервисов, доступных из интернета. Защита периметра корпоративной сети остается обязательным элементом информационной безопасности организации и важной составляющей многоуровневой системы, помогающей свести к минимуму внешние угрозы. Решения для защиты периметра позволяют предотвратить атаки на IT-ресурсы и обеспечить безопасный доступ сотрудников компаний во внешние сети, а авторизованных удаленных пользователей — к корпоративным ресурсам.

«Периметр – это не просто линия на рисунке, отделяющая один сегмент сети от другого, это сложный механизм в большой организации Сбербанка. Периметр существует и у маленьких фирм – размер организации не важен. Однако периметр в большой организации — это сложный организм, он состоит из людей, которые в нем работают, программного обеспечения, оборудования и процессов, на которых все завязано. Процессы – важный элемент: можно набрать крутых специалистов, но, если нет процессов, можно все сломать. Процессы отвечают за связи между людьми, оборудованием и другими элементами системы», – прокомментировал руководитель петербургского филиала Центра кибербезопасности Сбербанка Алексей Волощук.

Владислав Верусь – о направлениях защиты периметра

Периметр – это комплекс мер и мероприятий, которые проводят, чтобы нивелировать негативные воздействия не только в программно-аппаратном комплексе, но и в сфере персонала. Мы выделяем несколько основных направлений в организации, которые должны присутствовать в рамках работы на периметре.

Важное направление – сервис защиты веб-приложений Web Application Firewall (WAF), он расположен на прикладном уровне модели OSI и детектирует атаки на уровне приложения (WAF позволяет обнаружить и блокировать атаки на веб-приложения, которые пропускают традиционные межсетевые экраны и системы обнаружения вторжений). Этот инструмент позволяет обнаружить скриптинг (тип атаки на веб-системы) и подобные уязвимости, а также их эксплуатации.

Два других направления – системы IDS и IPS, которые используются сегодня во многих компаниях. В частности, они направлены на детектирование и логирование события информационной безопасности на внутреннем и внешнем сегменте организации. Многие компании используют систему IDS, чтобы в дальнейшем разбирать то, что было задетектировано. Система IPS, в свою очередь, при корректной настройке может при обнаружении события применить активные блокирующие контрмеры. Настраивать систему нужно очень чутко, так как она должна в режиме реального времени с минимальной задержкой реагировать на возможные проявления, которые фиксирует.

Еще одно направление – современное поколение Firewall – Next-Generation Firewall. Это тот комплекс мер и мероприятий, который мы должны провести, чтобы поставить новейшие разработки, которые включают огромное количество систем и функций, направленных на контроль доступа к данным и ресурсам, а также мониторинг. Такими системами внутри Firewall могут быть Firewall первого и второго поколения и другие. Здесь важно понимание, как наш внутренний пользователь использует ресурсы в сети Интернет.

Еще один столп безопасности – защита от DDoS атак. Для этого точно настроены анализаторы трафика и фильтрация трафика. При этом должна быть возможность не только полагаться на автоматическую систему фильтрации, но и способность вручную корректировать механизмы защиты во избежание непредвиденных последствий от успешной реализации атаки.

Также у нас существует практика, когда поступает сообщение о том, что на какой-то из ресурсов совершена атака. Мы интересуемся о ресурсах на рабочем месте, применяем методы, проводим глубокий постанализ.

Не стоит забывать, что работают люди, и к ним тоже надо присматриваться. 70-80 % всех бед происходит именно из-за человеческого фактор, ведь никто не застрахован от той же инсайдерской информации, поэтому следует держать руку на пульсе. Случается такое как и намеренно, так и по незнанию. Необходимо повышать уровень культуры и осведомленности персонала в области информационной безопасности. Защита на периметре -  это не единожды настроенная сеть защиты, это постоянно прогрессирующая система, нуждающаяся в регулярном мониторинге и закупке нового оборудования. Для этого нужен высококвалифицированный персонал.

«Есть специальные команды, которые тестируют уровень защиты периметра. По сути, сотрудники сами себя атакуют, разрабатывая сценарий атаки и отслеживая, как периметр отреагирует на то или иное действие, оценивается корректность выстроенной защиты. Особенно интересно, когда появляются новые типы атак. Мы должны вовремя перестроиться, если этого требует ситуация. Например, в прошлом году мы работали с волновыми типами атак, это интересный тип атак, с помощью которой систему защиты пытаются вывести из стабильного состояния. Из забавных – на Web Application Firewall обнаружили атаку, которая по интенсивности была безвредная, однако злоумышленник оставил сообщение “Проклятые капиталисты”», – заключил Алексей Волощук.