Контроль интернет трафика в локальной сети предприятия

В современном мире под контролем трафика следует понимать:

• контроль трафика в связи с его влиянием на сеть (посещение ресурсов, которое ведет к вирусному заражению сети;
• загрузка запрещенного программного обеспечения;
• регистрация на ресурсах, что в дальнейшем ведет к спаму и т. д.);
• контроль трафика для ведения статистических наблюдений (наиболее популярные протоколы, общие объемы информации, наиболее популярные ресурсы, поиск работы и т. д.);
• контроль трафика с точки зрения информационной безопасности (утечка информации, нежелательное общение сотрудников с конкурентами и т. д.);
• и в последнюю очередь объем входящего и исходящего трафика сотрудников.

Многие, прочитав название статьи, скажут, что ведь есть DLP-системы, которые снимут все вопросы в данном направлении. Здесь не соглашусь. Ведь если разбить те задачи, которые выполняет DLP-система, и скоррелировать с тем, что вам необходимо, то получится, что решить их (задачи) возможно штатными или более простыми способами. DLP-систем мы коснемся чуть позже.

Итак, мы исходим из того, что уже мало кого заботит ширина канала, значит, контролировать интернет-трафик нам нужно с точки зрения контроля за работой сотрудников (их эффективностью) и информационной безопасности. Если мы говорим об эффективности, то уверен, что у вас нет такого инструмента в организации, который позволил бы вам сказать, кто более эффективен: сотрудник, который открывает только word, excel и монотонно выполняет свои задачи, или тот, кто способен отвлечься от работы, пересмотрев интернет-магазины, новости и социальные сети, и после этого плодотворно поработать. А если вы перекроете (блокируете каналы передачи, введете блок-листы и т. д.) сотруднику этот канал расслабления? То, скорее всего, ваш сотрудник перейдет на мобильные устройства, и о контроле уже можно будет забыть. И вообще, в данной статье мы говорим о контроле интернет-трафика, а не о методах борьбы с ним.

Итак, какие советы можно дать по тем шагам, которые необходимо сделать в первую очередь:

Создайте комплекс мер, которые приведут к тому, что выход в сеть общего пользования Интернет возможен будет только через единую точку.

Что под этим понимать?
У каждого пользователя настройте выход в Интернет через прокси-сервер и осуществите шаги, в том числе организационные, которые не позволят ему получать доступ через иные каналы.

Пытается подключить USB-модем или телефон? Отключите эту возможность.

Пытается удалить настройки прокси-сервера? Исключите эту возможность. Продумайте вариант по доступу через беспроводные сети.

Когда вы уже полностью перешли на доступ в сеть через единую точку, настройте возможность мониторинга в виде статистики: какие каналы, какой объем трафика у пользователей, какие программы и т. д.

После первых двух этапов вам уже легче будет понять, какие протоколы вы хотите контролировать, а какие легче закрыть, и это не приведет к миграции на мобильные устройства. Например, из интернет-мессенджеров оставить открытым только Skype, а из социальных сетей – только ВКонтакте.

После чего можно продумать вопрос об установлении лимита на трафик, как входящий, так и исходящий.

И в любом случае вам необходимо будет проводить работу с сотрудниками в области повышения осведомленности об угрозах в сети Интернет, в том числе об угрозах социальной инженерии.

Теперь вернемся к DLP-системам. По моему мнению, DLP-система – представитель систем информационной безопасности, внедрение, которых необходимо осуществлять только в том случае, если вы выполнили все базовые и средние уровни технической и организационной защиты. Есть ли у вас система антивирусной защиты? Если есть, то настроены ли агенты на местах, собираются ли отчеты, анализируются ли для дальнейшей работы? Даже если это есть, то регламентирован ли данный процесс или все это в голове одного из сотрудников? Но, допустим, вы решили внедрить DLP-систему... Знаете ли вы, что контролировать? Разработаны ли документы, политики, знакомы ли вы со спецификой работы каждого структурного подразделения? Хорошо, если вы – некий закрытый завод и за периметр не должны уйти схемы определенного формата, а если (как правило) это финансовые документы, то по каждому отправленному документу формата excel вы побежите за консультацией к финансовой службе?

Меньшее из зол, когда вы выбрали недорогую DLP-систему, которую можете администрировать самостоятельно, но если это не так, да к тому же ваш выбор приведет к дальнейшему недешевому приобретению обновлений, технической поддержки (что уже открывает канал утечки информации), необходимости дозакупки системного программного обеспечения? И все это без тщательно разработанных документов, отсутствия сотрудников и ряда других проблем? Если вы знаете ответы на все эти вопросы, то я вам завидую.

Какие советы я бы дал, если вы хотите выбрать DLP-систему для контроля интернет-трафика вашей организации.

Блокировать или контролировать.

Если вы хотите блокировать трафик, то, думаю, после того как вы перейдете к единой точке выхода в сеть Интернет, вам вовсе и не нужна DLP-система. Хотите блокировать интернет-мессенджеры – это возможно без DLP. Хотите оставить интернет-мессенджеры, но закрыть передачу файлов – это возможно без DLP. Четко знаете, файлы какого формата нужно блокировать, – это возможно без DLP. Может быть, у вас есть какая-то секретная формула или инновационный состав какого-то материала, ноу-хау? Так что вы хотите блокировать именно средствами DLP-системы? Или вы хотите контролировать? Проведите эксперимент: закройте ВКонтакте и наблюдайте, будут ли сотрудники заходить в данную социальную сеть в рабочее время. Скорее всего, вы увидите, что ваши сотрудники заходят на свою страницу со своего мобильного устройства.

«Зеркалирование» трафика, или агентская часть.
Зеркалирование трафика подразумевает под собой отсутствие информации о шифрованных протоколах, т.е. вы не получите информацию ни по Skype, ни по HTTPS (т. е. любая web-почта) и т. д. Фактически развертывание DLP-системы даст вам чуть больше преимуществ, чем анализ логов прокси-сервера, когда вы осуществите все рекомендации начального уровня. Установка агента позволит помимо шифрованного трафика, получать информацию об активности рабочего стола, используемых программах, usb-носителях, контроль печати и так далее.

Наличие сертификата ФСТЭК. Многие производители сертифицируют (ФСТЭК) свои продукты, но сертифицируют версию 3.0, например, а продают 4.0 и т. д.

И еще более интересный момент, по моему мнению: закон №152 призван защищать свободы граждан (Конституция РФ). DLP система, которая эти свободы несколько затрагивает, пытается претендовать на системы защиты персональных данных.

Но здесь, как говорил герой книги Айзека Азимова, «бластер – штука хорошая, но направить его можно в любую сторону!».

Фактор первоначальной стоимости и стоимости владения.
В данном пункте необходима чистая математика. Сколько стоит DLP-система? Сколько стоит внедрение DLP-системы? Сколько стоит продление и техническая поддержка на два и три года? Необходима ли покупка системных программ (СУБД, операционная система и т. д.)? Использует ли DLP-система платные или бесплатные СУБД?

Требования к аппаратной части системы.
Возможно ли внедрение и поддержка системы собственными силами, даже без обращения к IT-службам вашей организации? Если, например, система требует знания альтернативных операционных систем, то вы заранее готовы обречь себя на техническую поддержку?

Фактор простоты и способности по поддержанию работы собственными силами службы информационной безопасности. Возможно ли, чтобы систему поддерживала, настраивала и обслуживала именно служба информационной безопасности вашей организации?

В заключение хочу сказать, что подход в любой организации уникален, с одной стороны, а с другой – есть ряд шагов, от которых не уйти, чтобы построить эффективную систему контроля трафика, которая будет взаимосвязана с другими системами информационной безопасности.

Автор: Александр Перфильев (ведущий специалист Интемс)
Все самые актуальные вопросы безопасности бизнеса в нашем блоге