ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/6497Full metadata record
| DC Field | Value | Language |
|---|---|---|
| dc.contributor.advisor | Панаско, Олена Миколаївна | - |
| dc.contributor.author | Баранець, Артем Олександрович | - |
| dc.date.accessioned | 2025-12-23T16:40:57Z | - |
| dc.date.available | 2025-12-23T16:40:57Z | - |
| dc.date.issued | 2025 | - |
| dc.identifier.uri | https://er.chdtu.edu.ua/handle/ChSTU/6497 | - |
| dc.description.abstract | "Об’єкт дослідження – системи захисту інформаційних ресурсів. Метою роботи є розробка багаторівневої системи захисту інформаційних ресурсів приватної організації. Методи дослідження – аналітичний огляд." | uk_UA |
| dc.language.iso | uk | uk_UA |
| dc.subject | багаторівнева система захисту | uk_UA |
| dc.subject | інформаційна безпека | uk_UA |
| dc.subject | сегментація інформаційної мережі | uk_UA |
| dc.subject | шифрування | uk_UA |
| dc.subject | контроль доступу | uk_UA |
| dc.title | Розробка багаторівневої системи захисту інформаційних ресурсів приватної організації | uk_UA |
| dc.type | Master Thesis | uk_UA |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) | |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Баранець_Панаско.pdf Restricted Access | 1.15 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА
МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор __________
Володимир ПАЛАГІН
"_____" грудня 2025 року
Пояснювальна записка
до випускної роботи
освітнього ступеня «магістр»
на тему: «Розробка багаторівневої системи захисту інформаційних ресурсів
приватної організації»
Виконав студент 2 курсу, групи мБІ-41
Спеціальність – 125 «Кібербезпека та захист
інформації»
Освітня програма – «Безпека інформаційних і
телекомунікаційних систем»
БАРАНЕЦЬ Артем Олександрович
Керівник роботи ПАНАСКО Олена
Рецензент ЧЕПИНОГА Анатолій
Черкаси 2025
Форма № Н-9.01
Черкаський державний технологічний університет
(назва вузу)
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра Робототехнічних і телекомунікаційних систем та кібербезпеки
Освітній ступінь магістр
Спеціальність 125 - Кібербезпека та захист інформації
Освітня програма Безпека інформаційних і телекомунікаційних систем
ЗАТВЕРДЖУЮ
Завідувач кафедри РТСК
д.т.н., професор Володимир ПАЛАГІН
« » вересня 2025 р.
ЗАВДАННЯ
на дипломний проект (роботу) студенту
Баранцю Артему Олександровичу
(прізвище, ім'я, по батькові)
1. Тема проекту (роботи) Розробка багаторівневої системи захисту інформаційних ресурсів
приватної організації
керівник проекту (роботи) Панаско Олена Миколаївна, к.т.н., доцент
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджена наказом по університету від « 15 » вересня 2025 р. № 261/03-03
2. Строк подання студентом проекту (роботи) 1 грудня 2025 р.
3. Вихідні дані до проекту (роботи)
клас АС-3, профіль захищеності 3.КЦД.1
4. Зміст розрахунково-пояснювальної записки (перелік питань, які потрібно розробити)______
Вступ. 1. Основні види загроз для інформаційного середовища. 2. Багаторівнева система
захисту інформаційних ресурсів: ключові компоненти та стратегії її створення. 3. Етапи
впровадження багаторівневого захисту. Висновки. Список використаної літератури
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень)
Презентація в Power Point обсягом 12 плакатів
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Розділ Прізвище, ініціали та посада завдання завдання
консультанта видав прийняв
7. Дата видачі завдання 04 вересня 2025 р.
КАЛЕНДАРНИЙ ПЛАН
№ Назва етапів дипломного С т р о к виконання Примітка
з/п проекту (роботи) етапів проекту
(роботи)
1. Аналіз технічного завдання та огляд літератури 04.09.2025
2. Розробка методики проведення дослідження 18.09.2025
3. Аналіз видів загроз інформаційного середовища 25.09.2025
4. Огляд стратегій створення багаторівневої
системи захисту інформації 01.10.2025
5. Розробити алгоритм побудови моделі
багаторівневої системи захисту інформаційних
ресурсів 14.10.2025
6. Запропонувати сегментації інформаційної мережі
та програмно-апаратні засоби багаторівневого
захисту 25.10.2025
7. Оформлення пояснювальної записки 05.11.2025
8. Оформлення плакатів 25.11.2025
Студент БАРАНЕЦЬ Артем
(підпис) (прізвище та ініціали)
Керівник проекту ПАНАСКО Олена
(роботи)
(підпис) (прізвище та ініціали)
ЗМІСТ
Стор.
Вступ 4
1. ОСНОВНІ ВИДИ ЗАГРОЗ ДЛЯ ІНФОРМАЦІЙНОГО СЕРЕДОВИЩА 6
1.1 Інформаційна безпека приватної організації 6
1.2 Основні загрози інформаційній безпеці для бізнесу 8
2. БАГАТОРІВНЕВА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЙНИХ
РЕСУРСІВ: КЛЮЧОВІ КОМПОНЕНТИ ТА СТРАТЕГІЇ ЇЇ СТВОРЕННЯ 15
2.1 Загальні положення про багаторівневу безпеку 15
2.2 Етапи запровадження багаторівневої безпеки організації 22
2.3 Багаторівневий захист для хмарних та гібридних середовищ 27
2.4 Впровадження багаторівневої системи захисту інформаційних ресурсів 36
3. ЕТАПИ ВПРОВАДЖЕННЯ БАГАТОРІВНЕВОГО ЗАХИСТУ 37
3.1 Загальні відомості про організацію 37
3.2 Модель багаторівневої системи захисту інформаційних ресурсів
приватної організації 40
3.3 Організаційні заходи багарівневого захисту 44
3.4 Заходи захисту корпоративної мережі 47
3.5 Методи захисту конфіденційних даних приватної організації та тренди 54
у сучасній кібербезпеці
Висновки 56
Список використаної літератури 57
ВСТУП
Інформаційна безпека стає одним із ключових аспектів успішного ведення
бізнесу у цифрову епоху. Впровадження сучасних методів захисту даних, таких як
шифрування, двофакторна автентифікація та штучний інтелект, а також регулярне
навчання співробітників – це мінімальні заходи, які допоможуть убезпечити
компанію будь-якого розміру від кіберзагроз. Підготовленість до викликів
інформаційної безпеки — це не лише захист бізнесу, а й конкурентна перевага в
світі, де дані стають новою валютою.
Виходячи з припущення, що все всередині мережі безпечно, система безпеки
на основі периметра захищає підприємства лише від загроз, що надходять ззовні
мережі. Але модель роботи з дому, де співробітники використовують ПК та
мережеві пристрої (які можуть бути зламані або прослуховуватися), показала, що
це припущення хибне. Не маючи можливості оцінити стан безпеки пристроїв
співробітників, організації більше не можуть покладатися на традиційну систему
безпеки на основі периметра для повного захисту свого середовища.
Кібератаки також стають більш інноваційними, впроваджуючи тактики,
методи та процедури (TTPs – tactics, techniques, and procedures), спрямовані на
внутрішні системи за допомогою фішингу та соціальної інженерії. Ці TTPs
дозволяють зловмисникам легко обходити інструменти безпеки та засоби
контролю, спрямовані на забезпечення непроникності периметра. Щоб по-
справжньому захистити корпоративні середовища від кібератак, організації
повинні впроваджувати багаторівневу безпеку на додаток до безпеки на основі
периметра.
Метою роботи є розробка багаторівневої системи захисту інформаційних
ресурсів приватної організації.
Для досягнення поставленої мети необхідно вирішити такі завдання:
• провести аналіз загроз інформаційній безпеці приватного підприємства;
• розробити алгоритм побудови моделі багаторівневої системи захисту
інформаційних ресурсів приватної організації;
• провести сегментацію мережі на дрібніші ізольовані підмережі, що дозволяє
обмежити наслідки злому за рахунок його локалізації в одному сегменті;
• розглянути антивірусне програмне забезпечення кінцевих хостів;
• запропонувати програмні та апаратно-програмні засоби багаторівневої
системи захисту інформаційних ресурсів приватної організації.
1. ОСНОВНІ ВИДИ ЗАГРОЗ ДЛЯ ІНФОРМАЦІЙНОГО СЕРЕДОВИЩА
1.1 Інформаційна безпека приватної організації
Сегмент сучасного бізнесу та комерції активно розвивається. І у своєму
розвитку бізнесмени використовують численні цифрові технології: починаючи від
покращеної комунікації між партнерами та закінчуючи повною цифровізацією
послуг та фінансових відносин. Нові можливості одночасно є точками зростання та
автоматизації процесів, але при цьому становлять додаткову загрозу проникнення
з боку шахраїв: кібератаки, витікання даних, службові порушення. Тому ми
розглянемо сучасні кіберзагрози для бізнесу.
За останні кілька десятиліть можна відзначити різке зростання загроз для
бізнесу з боку цифрового впровадження та кібершахрайства. При цьому
інтенсивність атак та увага зловмисників різниться. Від малих до великих
підприємств усі стикаються з різними рівнями загроз та різними наслідками атак.
Для малого бізнесу характерна актуальна проблема інфобезпеки –
обмеженість фінансових і технічних ресурсів, що стає причиною слабких захисних
заходів, що застосовуються підприємством. Тому такі компанії стають легкою
метою для кібератак — комплекс цих факторів працює не на руку фахівцям
безпеки. Згідно зі статистикою, близько 61% об'єктів малого бізнесу зазнали
кібератак у 2024 році: за допомогою фішингу, впровадження шкідливого ПЗ,
інсайдерських атак та інших типів впливу. Також примітно, що 82% усіх атак з
використанням програм-здирників спрямовані на компанії з чисельністю менше
1000 співробітників – також особливість тактики кіберзлочинців.
Для середнього бізнесу фіксується зростання значущості кіберзагроз,
пов'язаних із експлойтами та троянами. Так, згідно зі звітами, у 2024 році цей тип
підприємств найчастіше стикався з даними погрозами, які проникали через
уразливості у ПЗ та дозволяли хакерам отримати контроль над управлінням та
програмним забезпеченням компанії. Так, у перші місяці 2024 року було
зафіксовано понад 764 тисячі атак, спрямованих на середній бізнес, з
використанням таких методів.
Найбільш популярним серед цифрових шахраїв стає великий бізнес. На це є
кілька причин. Актуальність промислового шпигунства, коли розвиток цілої галузі
виробництва може бути прив'язаний до інновацій на конкретному підприємстві.
Великі підприємства найчастіше витрачають великий бюджет на інновації та
науково-дослідну діяльність, і витік результатів цих досліджень завдає фінансової
та репутаційної шкоди компанії.
Ймовірність відсутності контролю над усіма процесами чи виникнення
помилки через людський фактор. Великий обсяг розв'язуваних завдань, розвинена
виробнича інфраструктура та комунікації на різних рівнях підвищують ймовірність
виникнення прогалин у безпеці. Хоча великі корпорації краще захищені завдяки
інвестиціям у кібербезпеку, вони однаково залишаються бажаними об'єктами
складних атак. Зокрема, великі компанії можуть мати справу з більш витонченими
впливами. Це також особливість кіберзагроз для сучасного бізнесу. Прикладом
можуть бути: цільові зломи, впровадження інсайдерів та загрози на рівні
інфраструктури (DDoS-атаки). У 2024 році жертвами найбільших інцидентів на
кшталт DDoS-атак у сфері кібербезпеки були саме великі виробничі та фінансові
компанії, які стикалися з атаками на системи управління та використовувані дані
клієнтів.
1.2 Основні загрози інформаційній безпеці для бізнесу
Загрози – це будь-які обставини або події, що можуть бути причиною
порушення політики безпеки інформації і/або нанесення збитків автоматизованій
системі (АС). Загрози в залежності від виду впливів на інформацію поділено на
випадкові й навмисні. Визначено походження загрози (внутрішня, зовнішня), її
вплив на критерії інформаційної безпеки (конфіденційність, цілісність,
доступність).
Ненавмисні загрози
Випадкове походження обумовлюється спонтанними і не залежними від волі
людей обставинами, що виникають в ІТС в процесі її функціонування. Також
ненавмисними загрозами є необачність персоналу, який залучений до обробки
інформації.
Найбільш відомими випадковими загрозами є стихійні лиха, відмови, збої,
помилки та побічні впливи. Також одним з різновидів ненавмисних загроз є
застосування соціальної інженерії.
Фішинг останніми роками активно набирав популярність і став одним із
найбільш ризикових факторів для кібербезпеки підприємства. При цьому об'єктами
фішинг-використання можуть стати як великі компанії, так і мікробізнес. Розсилка
шахраями сама по собі нейтральна і не несе прямого впливу на підприємство.
Однак як тільки співробітник починає взаємодіяти з вмістом через неуважність або
з цікавості, компанія піддається кіберризику. Є можливість витоку конфіденційних
даних. Є можливість впровадження шкідливого ПЗ на кшталт програм-вимагачів,
які шифрують дані чи блокують доступом до них і вимагають від власника
інформації фінансового викупу. Подібні атаки можуть паралізувати роботу
підприємства на кілька днів або навіть тижнів, що призводить до значних
фінансових втрат.
В наведеній моделі загроз, ненавмисний витік інформації внаслідок
соціальної інженерії представлено окремою загрозою тому, що для її запобігання
має бути впроваджена DLP (Data Leak Prevention) система. Ця система здатна
виявляти надання несанкціонованого доступу до ІзОД та запобігати витокам
інформації. Також ця система веде облік заблокованих випадків можливого витоку
інформації.
В таблиці 1.1 наведені визначені ненавмисні загрози, актуальні для АС.
Таблиця 1.1 – Класифікація ненавмисних загроз
Ненавмисні загрози
№ Загроза Походження Вплив Шляхи запобігання
загрози
1 Фішинг Зовнішня Конфіденційність, Обізнаність персоналу в
загроза Цілісність, питаннях інформаційної
Доступність безпеки
2 Випадкове зараження Зовнішня Конфіденційність, Обізнаність персоналу в
шкідливим загроза Цілісність, питаннях інформаційної
програмним Доступність безпеки, Якісне антивірусне ПЗ
забезпеченням
3 Надзвичайна ситуація Зовнішня Цілісність, Наявність резервного
загроза Доступність обладнання, резервних копій.
Наявність плану відновлення
після надзвичайної ситуації
(DRP - Disaster recovery plan) та
плану безперервності бізнесу
(BCP - Business continuity plan)
4 Ненавмисний витік Зовнішня Конфіденційність Обізнаність персоналу в
інформації внаслідок загроза питаннях інформаційної
соціальної інженерії. безпеки. Наявність DLP
системи (Data Leak Prevention)
для запобігання випадковим
витокам інформації
5 Порушення цілісності Внутрішня Цілісність, Наявність резервних копій
чи доступності загроза Доступність
інформації внаслідок
ненавмисних дій
користувачів
6 Порушення цілісності Внутрішня Цілісність, Наявність резервного
та доступності загроза Доступність обладнання, резервних копій.
інформації внаслідок Наявність плану відновлення
апаратного або після надзвичайної ситуації
програмного збою, (DRP - Disaster recovery plan) та
аварійної ситуації плану безперервності бізнесу
(BCP - Business continuity plan)
7 Недбале зберігання та Внутрішня Конфіденційність, Наявність правил обліку носіїв
облік документів, загроза Доступність інформації. Впровадження
носіїв інформації політики роботи з
документацією
8 Порушення Внутрішня Конфіденційність, Шифрування конфіденційних
конфіденційності загроза Доступність даних. Маркування носіїв
інформації внаслідок додатковими візуальними
втрати носія ознаками
інформації
9 Ненавмисні дії Внутрішня Доступність Наявність резервного
користувачів, що загроза обладнання. Дотримання
призводять до принципу призначення лише
відмови необхідних привілеїв при
функціонування розмежуванні доступу
мережі чи окремих її
елементів,
пошкодження
обладнання
Для запобігання негативних наслідків від стихійних лих для підприємства,
потрібно мати якісні системи електропостачання, водовідведення, опалення.
Рекомендується проведення періодичного ремонту приміщення; встановлення
громовідводу. Для стабільної роботи підприємства необхідна наявність резервних
каналів електроживлення.
Навмисні загрози
Навмисні загрози пов'язані з діями людини, в якої є мотив зловживання
службовими обов’язками. Таким мотивом може бути:
• корисливий мотив (найпопулярніший мотив для зловживання службовими
обов’язками);
• невдоволення умовами праці;
• самоствердження.
Загрози, які виникають внаслідок зловживання службовими обов’язками,
зазвичай призводять до порушення конфіденційності або доступності інформації.
Також було вказано загрози, які є основними складовими зловмисників при
здійснені кібератаки на організації. Такими є використання відомих вразливостей
ПЗ та застосування шкідливого ПЗ.
З використанням шкідливого програмного забезпечення, зловмисник може
отримати доступ до корпоративної мережі, підвищувати свої привілеї в системі та
здійснювати подальше просування в локальній мережі підприємства. Цей цикл
дозволяє нападнику отримати доступ до більшого обсягу інформації на більшій
кількості пристроїв в мережі. У більшості випадків ексфільтрація ІзОД
відбувається з використанням шпигунського програмного забезпечення (ШПЗ).
Нерідко точкою входу для зловмисника є поєднання ШПЗ та фішингу - дуже часто
ШПЗ вбудовують в документи Microsoft Office (docx, xlsx) як макроси.
Існують різні види шкідливого програмного забезпечення. Їх функціонал
може включати порушення конфіденційності, цілісності та доступності інформації,
надання зловмиснику прихованого доступу в локальну мережу компанії. Зокрема
серед видів ШПЗ можна виділити Ransomware та Wiper. Функціонал цих видів
шкідливого ПЗ націлений на порушення доступності АС.
На сьогоднішній день, найбільш актуальною загрозою є Ransomware
угрупування, оскільки їх тактика здійснення кібератак поєднує порушення
доступності, цілісності та конфіденційності інформації.
Ransomware – злочинні угрупування, тактика яких полягає в застосуванні
шантажу проти приватного підприємства. Діяльність таких угрупувань
характеризується широким застосуванням ШПЗ. Спочатку зловмисники
отримують доступ до корпоративної мережі, потім створюють ряд резервних
прихованих доступів (backdoor) і здійснюють підвищення привілеїв з подальшим
просуванням по мережі. Коли зловмисники отримують стабільний доступ до
більшості сховищ даних та критичних активів (файлові сервери/NAS, віртуальні
машини, сервіси технічної підтримки, CRM, доступ до документів на робочих
станціях, сервер електронної пошти), починається процес шифрування всіх даних,
які необхідні для стабільної роботи підприємства. У більшості випадків,
розшифрування даних може здійснити лише зловмисник. Після шифрування даних,
злочинне угрупування починає шантаж підприємства з метою отримання викупу.
Методи шантажу включають погрози витоку конфіденційної інформації
(включаючи персональні дані клієнтів) в публічний доступ, здійснення атак
відмови в обслуговуванні (Denial of Service) через перевантаження мережевої
інфраструктури та регулярні телефонні дзвінки керівництву підприємства з
погрозами. Ці методи шантажу поєднуються для більшого тиску на бізнес.
Успішна ransomware атака призводить до значних збитків підприємства і
здатна повністю паралізувати або припинити діяльність підприємства.
Wiper – це вид ШПЗ який націлений на знищення даних, які зберігаються на
носіях інформації (жорсткі диски, NAS, флеш-носії). Наслідком застосування
такого виду шкідливого програмного забезпечення може стати припинення
функціонування автоматизованої системи. В таблиці 1.2 наведені визначені
ненавмисні загрози, актуальні для АС.
Окремо варто зазначити про таку зовнішню загрозу, як Supply Chain Attack (атака
ланцюгів поставок). Кібератака на приватну організацію може здійснюватись через
компрометацію її бізнес-партнерів, наприклад постачальників. Часто причиною
можливості здійснення таких атак ланцюгів поставок є недостатня реалізація
розмежування прав доступу.
Таблиця 1.2 – Класифікація навмисних загроз
Навмисні загрози
№ Загроза Походження загрози Вплив Шляхи
запобігання
1 НСД до даних внаслідок Зовнішня загроза Конфіденційність, Вчасне оновлення
використання відомих Цілісність, ПЗ. Видалення ПЗ
вразливостей системного та Доступність що не
прикладного ПЗ використовується.
Розмежування
доступу до
системи.
Наявність
ефективного
антивірусного ПЗ
2 Застосування шкідливого Зовнішня/внутрішня Конфіденційність, Наявність
програмного забезпечення загроза Цілісність, ефективного
Доступність антивірусного ПЗ.
Наявність SIEM
для відстеження і
аналізу подій
системи в робочих
станціях
3 Атаки відмови в Зовнішня загроза Доступність Наявність SIEM
обслуговуванні для відстеження і
аналізу подій
системи в робочих
станціях
4 НСД до даних шляхом Зовнішня/внутрішня Конфіденційність Використання
зняття з каналів витоку загроза інженерно-
інформації технічних засобів
захисту
5 Порушення Внутрішня загроза Конфіденційність, Дотримання
цілісності/конфіденційності Цілісність, принципу
інформації внаслідок Доступність призначення лише
навмисних дій необхідних
привілеїв при
авторизованого розмежуванні
користувача доступу.
Наявність
резервних копій.
Більш уважний
підбір персоналу
6 Одержання доступу до Внутрішня загроза Конфіденційність, Шифрування
системи сторонніми Цілісність, мережевого
особами / Man-in-the-middle Доступність трафіку.
атака Обізнаність
персоналу в
питаннях
інформаційної
безпеки
7 Читання залишкової Внутрішня загроза Конфіденційність Реалізація
інформації з носіїв, гарантованого
оперативної та зовнішньої знищення
пам’яті ЕОМ непотрібної
інформації
В рамках підтримки актуальності багаторівневої системи захисту інформації,
необхідно регулярно оновлювати модель загроз і планувати коригування засобів
захисту на основі актуалізованої моделі загроз.
Впровадження організаційних заходів дозволяє забезпечити захист від
більшості визначених загроз. Інженерно-технічні заходи захисту спрямовані на
унеможливлення здійснення витоку інформації що зберігається на фізичних носіях
і мовної інформації. Також, для захисту від загроз в кіберпросторі необхідне
впровадження як апаратних так і програмних заходів захисту локальної мережі
підприємства і мережевих комунікацій підприємства між філіалами і партнерами.
Відповідно до найкращих світових практик, організаційні заходи захисту
інформації в інформаційно-комунікаційних системах розроблені на основі моделі
Zero Trust (модель нульової довіри).
2. БАГАТОРІВНЕВА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЙНИХ
РЕСУРСІВ: КЛЮЧОВІ КОМПОНЕНТИ ТА СТРАТЕГІЇ ЇЇ СТВОРЕННЯ
2.1 Загальні положення про багаторівневу безпеку
За статистикою близько 75% американських компаній зазнали або
ризикують зазнати суттєвої кібератаки у 2023-2025 році [3]. Бізнес-ландшафт стає
дедалі більш цифровим. Це також означає, що кількість кібератак зростає у
геометричній прогресії. Вони спричиняють серйозні наслідки - від фінансових
втрат до проблем із репутацією. У такі лихоліття один-єдиний рівень захисту даних
приватної організації може коштувати дуже дорого. Це може зашкодити власнику
та його бізнесу.
Багаторівневий захист - це спосіб побудови захисних систем, що
перекриваються. Це дуже комплексний метод, що поєднує заходи на багатьох
рівнях. До них відносяться:
• фізичний,
• мережевий,
• кінцевий,
• прикладний,
• інформаційний.
Багаторівнева система також виходить за межі технологічних інструментів.
Вона включає три найважливіших елемента:
• навчання співробітників,
• управління ідентифікацією та доступом,
• планування реагування на інциденти.
При розробці багаторівневої системи захисту інформаційних ресурсів
приватної організації можна зробити такі ключові висновки:
1. Багаторівнева безпека поєднує безліч заходів захисту, що забезпечують
комплексний захист від кіберзагроз.
2. Глибинний захист має вирішальне значення для захисту від різних загроз,
таких як шкідливе програмне забезпечення та інсайдерські атаки.
3. Ефективна багаторівнева система безпеки включає фізичну, мережеву,
кінцеву точки, додатки та захист даних, а також навчання співробітників та
управління ідентифікаційними даними.
4. Рівні безпеки, що перекриваються, дозволяють знизити ризики і
забезпечити резервування для захисту критично важливих даних і систем.
5. Комплексне впровадження багаторівневої системи безпеки потребує
оцінки потреб, розробки політик та розгортання відповідних інструментів з
урахуванням конкретних вимог бізнесу.
Багаторівнева безпека, або глибока оборона це стратегія кіберзахисту. В ній
вживається безліч заходів для захисту організації від загроз. Це означає
використання різних інструментів, а не одного захисту. Це також означає
додавання технологій та практик на різних рівнях. Це допомагає створити міцну,
повну основу.
1. Різноманітні загрози 2. Надмірність
3. Відповідність нормам 4. Зниження ризику
Рисунок 2.1 – Причини впровадження багаторівневої системи захисту
інформаційних ресурсів
Виділяють чотири причини, через які ця багаторівнева система безпеки
важлива для бізнесу:
• Різноманітні загрози: кібератаки мають багато форм. До них відносяться
шкідливі програми, програми-вимагачі, внутрішні загрози та багато іншого. Одне
рішення не може впоратися з усіма цими ризиками.
• Надмірність: різні шари забезпечують надмірність. Якщо один захід не
спрацює, інші зможуть його підстрахувати.
• Відповідність нормам: багато галузей потребують суворого дотримання
вимог безпеки (наприклад, GDPR, HIPAA). Багаторівнева стратегія часто
задовольняє ці вимоги.
• Зниження ризику: виправлення вразливостей на багатьох рівнях. Це може
допомогти компаніям зменшити ризик серйозного злому.
В даній кваліфікаційній роботі розглянемо основні компоненти
багаторівневої стратегії захисту.
Ця стратегія має кілька ключових складових (рис.2.2).
Рисунок 2.2 – Шари багаторівневого захисту приватної організації
Вони включають:
1. Фізичні засоби захисту.
Перш ніж боротися із цифровими загрозами, необхідно створити фізичні
засоби захисту. Несанкціонований фізичний доступ до мереж може
скомпрометувати систему.
Слід переконатися, що всі фізичні компоненти безпеки працюють правильно.
До них відносяться картки-ключі, біометричні системи та обладнання для
відеоспостереження, наприклад, камери CCTV або IP-камери. Крім того,
забезпечується безпека серверних кімнат, обмежується доступ до критично
важливої інфраструктури.
2. Безпека кінцевих точок
Кіберзлочинці часто атакують кінцеві точки. Ноутбуки, настільні комп'ютери
та смартфони співробітників приватної організації потребують захисту. Для їх
захисту використовується:
• антивірусне програмне забезпечення, яке виявляє та видаляє загрози, а також
захищає пристрої від шкідливих програм;
• шифрування пристроїв дозволить захистити конфіденційні дані у разі втрати
пристроїв;
• керування мобільними пристроями (MDM), що забезпечує контроль та захист
мобільних пристроїв для роботи.
3. Мережева безпека
Захист мережі має життєво важливе значення. Він запобігає
несанкціонованому доступу та витоку даних. Він включає наступні функції:
• брандмауери (файєрволи), які виконують роль шлюзів. Вони контролюють
мережевий трафік на основі наперед визначених правил. Брандмауери
досліджують мережеві пакети. Вони аналізують їхнє джерело, місце
призначення та вміст. Таким чином, вони можуть визначити, чи дозволити
доступ до пакета;
• система виявлення вторгнень (IDS), яка відстежує мережний трафік щодо
загроз. За потреби вона генерує попередження;
• система запобігання вторгненням (IPS), яка блокує або запобігає атакам.
Система аналізує шаблони мережевого трафіку та сигнатури. Вона може
виявити підозрілу поведінку, наприклад, сканування портів, DoS-атаки та
шкідливе ПЗ;
• віртуальна приватна мережа VPN, яка створює зашифрований тунель через
недовірену мережу. Це дозволяє співробітникам отримати доступ до ресурсів
компанії з будь-якого місця;
• сегментація мережі поділяє мережу на дрібніші ізольовані підмережі. Такий
підхід дозволяє обмежити наслідки злому за рахунок його локалізації в
одному сегменті.
4. Безпека даних
Захист конфіденційних даних є одним із головних пріоритетів для компаній,
і тому вони використовують кілька способів. Наприклад, вони шифрують дані у
стані спокою та при передачі. Використовується контроль доступу на основі ролей
(RBAC). Він обмежує доступ авторизованого персоналу до конфіденційних даних.
Крім того, регулярно створюються резервні копії даних та забезпечується їхнє
безпечне зберігання. Ці заходи дозволяють компаніям відновлюватися після втрати
даних наприклад, при збоях обладнання. Крім того, вони полегшують процес
аварійного відновлення. Організація зможе відновлювати дані швидко та
ефективно, зводячи втрати до мінімуму.
5. Безпека додатків
Програми мають вирішальне значення для сучасного бізнесу. Ми повинні
забезпечити їхню безпеку для захисту конфіденційних даних. Тільки так можна
забезпечити безперервність бізнесу та зберегти довіру. Однак програмне
забезпечення має багато вразливостей. Зловмисники використовують ці недоліки
для отримання несанкціонованого доступу до систем. Регулярно слід оновлювати
та виправляти програмне забезпечення. Доцільно також встановити брандмауери
веб-застосунків. Вони переглядають веб-трафік та блокують шкідливі запити. До
поширених атак належать:
• SQL-ін'єкції використовують слабкі місця у запитах до баз даних;
• скриптинг між сайтами (XSS), який впроваджує шкідливі скрипти на веб-
сторінки;
• підробка міжсайтових запитів (CSRF), яка обманює користувачів, змушуючи
їх виконувати небажані дії.
6. Управління ідентифікацією та доступом (IAM)
Це включає контроль доступу до систем і даних для зниження ризиків. Сюди
можна віднести наступне:
• багатофакторна автентифікація (MFA) надає безліч форм перевірки;
• суворі політики паролів передбачають використання складних паролів, які
постійно оновлюються;
• керування привілейованим доступом (PAM) контролює та керує
привілейованими обліковими записами.
7. Навчання та інформування співробітників.
Співробітники часто є першою лінією захисту від кіберзагроз. Їм потрібне
постійне навчання. Для цього можна використовувати програми підвищення
обізнаності, щоб навчити співробітників розпізнавати фішингові листи. Потрібно
навчити їх використовувати надійні паролі та переконатися, що вони знають, яких
методів захисту необхідно дотримуватись при роботі з конфіденційними даними.
Навчання має включати тести та симуляції безпеки.
Наприклад, можна використовувати імітацію атак фішингу для застосування
уроків у реальних сценаріях. Співробітники повинні знати свою роль у підтримці
протоколів безпеки на належному рівні. Приватна організація повинна дбати про
культуру безпеки, щоб зменшити ризик людських помилок. Слід навчити
співробітників повідомляти про інциденти та дотримуватися політики компанії.
Таким чином, кожен член команди організації робить свій внесок у створення
більш безпечного цифрового середовища.
8. План реагування на інциденти (IRP)
IRP допоможе виявити, локалізувати та відновити наслідки інциденту
безпеки. Вона включає чіткі ролі і обов'язки. Існують протоколи для ескалації та
комунікації. План повинен охоплювати виявлення, локалізацію, ліквідацію та
відновлення. Крім того, необхідно провести аналіз ситуації після інциденту, щоб
запобігти майбутнім інцидентам.
Організація може ініціювати перевірку свої команди за допомогою навчань
та симуляцій. Це підготує їх до дій у ситуаціях високого тиску. Крім того, завжди
потрібно передбачати процедуру документації інцидентів. Це, з часом, допоможе
організації удосконалити стратегію реагування. Добре розроблений IRP мінімізує
збитки та скоротить час простою. Він також забезпечить безперервність бізнесу під
час та після порушення безпеки.
2.2 Етапи запровадження багаторівневої безпеки організації
Розглянемо комплексний підхід до впровадження кількох рівнів захисту
даних (рис.2.3).
1. Оцінити потреби 2. Встановити 3. Забезпечення
організації у безпеці політику безпеки фізичної безпеки
4. Розгортання системи 5. Використання 6. Використання
безпеки по периметру мережевої безпеки захисту кінцевих точок
7. Застосування 8. Реалізація аутентифікації
шифрування даних та контролю доступу
Рисунок 2.3 – Етапи впровадження багаторівневої системи захисту даних
Для цього керівництво організації повинно дотримуватися восьми кроків:
1. Оцінити потреби організації у безпеці
Розмір бізнесу приватної організації та тип галузі будуть впливати на загрози,
яким вона наражається. Наприклад, кібератакери атакуватимуть фінансову
установу, щоб заволодіти її коштами. Щоб протистояти цьому необхідно
забезпечити багаторівневий захист. Однак у випадку з організацією охорони
здоров'я все інакше. Для них потрібні надійні методи безпеки, щоб гарантувати
відповідність нормативним вимогам. Керівництво організації повинно знати, в
якому положенні перебуває їх компанія, щоб зробити усвідомлений вибір.
Необхідно визначити критично важливі активи приватної організації. Це
насамперед дані, компрометація яких може бути критично небезпечною. До них
належить основна інфраструктура, що забезпечує всі операції. Це можуть бути дані
про клієнтів або фінансові документи. Інтелектуальна власність, наприклад
формули та патенти, також можуть мати вирішальне значення. Цей крок допоможе
краще зрозуміти технологічні операції організації та розставити пріоритети.
Аналогічно варто оцінити вразливі місця приватної організації. Такі слабкі
місця, як застаріле програмне забезпечення, недостатня підготовка співробітників
або незахищений віддалений доступ є легкими точками входу для хакерів. Слід
додатково оцінити налаштування безпеки електронної пошти, оскільки фішингові
та підроблені атаки, як і раніше, є серйозною загрозою. Рекомендується
використовувати такі протоколи, як DMARC, SPF та DKIM для захисту
електронної пошти та запобігання зловживанням доменами. Зміцнення цих
захисних механізмів дозволить знизити ризик використання зловмисниками систем
приватної компанії та захистити критично важливі операції.
Знаючи як і чому зловмисники можуть отримати доступ – це перший крок.
Обов'язково ретельно оцінюються існуючі рівні захисту та слабкі місця.
2. Встановити політику безпеки
Розробка політики з детальним описом засобів та методів забезпечення
безпеки. Встановлюються чіткі очікування та процедури. Висуваються вимоги до
надійних паролів, шифрування та MFA. Встановлення таких базових заходів
допоможе зорієнтуватись співробітникам організації. Сюди слід включити вимоги
до навчання співробітників. Обов'язково слід запровадити проведення регулярних
тренінгів з безпеки та встановити графік та стандарти їх проведення. Аналогічним
чином включаються сюди докладні IRP.
Повноважні особи мають переконатися, що політика відповідає цілям
організації. Це допоможе запровадити культуру багаторівневого захисту.
Розробляються вимоги відповідно до ролі кожного співробітника. Наприклад,
керівникам потрібні інструкції з розпізнавання просунутих спроб фішингу.
Співробітники служби підтримки клієнтів повинні пройти навчання по роботі з
найпоширенішими прийомами соціальної інженерії. Таким чином, можна бути
впевненим, що кожен співробітник організації робить свій внесок у її захист.
3. Забезпечення фізичної безпеки
Фізична безпека – це перший рівень захисту. Навіть найзахищеніші мережі
зазнають невдачі, якщо зловмисник отримає доступ до інфраструктури. Перше, що
тут необхідно зробити, – це контроль доступу. Варто обмежити доступ до
приміщень та серверних кімнат. Для цього можна використовувати карти-ключі,
біометричну верифікацію або PIN-коди. Найкраще встановити тут MFA.
Наприклад, для більшої безпеки можна додати сканер відбитків пальців та прохід
по ключовій карті.
Найважливішим компонентом фізичної безпеки є спостереження. Краще
перестрахуватися, ніж потім шкодувати. Встановлюються камери
відеоспостереження в кожному куточку, навіть якщо здається, що це не потрібно.
Багато ракурсів забезпечать постійне спостереження та докази на випадок, якщо
щось трапиться.
Залежно від розміру організації слід подумати про створення групи безпеки.
Вона має забезпечити швидке реагування на погрози кібербезпеки. Крім того, слід
приділити увагу правильній утилізації застарілого обладнання. Щоб зробити дані
організації невідновними варто знищувати або зтирати старі USB-накопичувачі та
жорсткі диски з конфіденційною інформацією.
4. Розгортання системи безпеки по периметру
Захист периметра блокує кордон між мережею організації та зовнішніми
загрозами. Для цього встановлюються брандмауери, щоб запобігти входу та виходу
неавторизованих користувачів з мережі компанії. Це буде перший рівень захисту.
Потім для комплексного захисту встановлюються IDS та/або IPS.
Додатково можна використовувати VPN для шифрування трафіку для
безпеки віддаленої роботи. Слід звертати увагу на будь-яку незвичайну мережеву
активність, щоб виявити порушення на ранній стадії. Крім того, слід оновлювати
версії конфігурації брандмауера та VPN.
5. Використання мережевої безпеки
Сегментація мережі потрібна для багаторівневого підходу до безпеки.
Розділення та ізоляція мережі організації, дозволить контролювати кожну частину
окремо. Таким чином, зловмисники не зможуть переміститися в інший бік після
проникнення в одну частину мережі. Розгортається шлюз сегментації мережевого
трафіку. Використовується спеціалізоване обладнання для розподілу сегментів
мережі, після чого встановлюються протоколи трафіку, щоб контролювати
проходження трафіку через кожен сегмент. Встановлюються протоколи безпеки
для кожної зони.
Використовуються списки контролю доступу (ACL). Вони визначають, які
користувачі можуть входити до вашої мережі та які завдання вони можуть
виконувати. Налаштування ACL здійснюється на маршрутизаторах та
комутаторах. Також можна використовувати їх у брандмауерах для контролю
вхідного та вихідного трафіку.
6. Використання захисту кінцевих точок
Правильний багаторівневий підхід до безпеки передбачає захист кінцевих
точок.
7. Застосування шифрування даних
Потрібно захищати дані організації у стані спокою та при транспортуванні.
Ось кілька методів, що дозволяють це зробити:
• шифрування спокою: використовується криптографічний алгоритм. Він
перетворює дані на шифрований текст, який можна розшифрувати лише за
допомогою ключа. Дані шифруються у стані спокою для файлів, папок, дисків, баз
даних та резервних копій. Можна використовувати симетричне чи асиметричне
шифрування. Перше використовує один ключ і працює швидше. Воно найкраще
підходить для статичних даних. У другому випадку використовуються два ключі;
розшифрувати дані може лише одержувач. Але воно повільніше та складніше.
Варто використовувати надійні стандарти шифрування, такі як AES або RSA.
• шифрування при транспортуванні: використовуються протоколи SSL/TLS
для шифрування даних під час їх передачі. Вмикається HTTPS для веб-програм та
VPN для віддаленого доступу.
8. Реалізація аутентифікації та контролю доступу
Вводиться MFA і RBAC. Використовується принцип найменших привілеїв:
користувачам надається мінімальний доступ, необхідний для виконання їхніх
завдань. Адміністратор повинен регулярно переглядати дозволи на доступ, щоб
переконатися, що вони відповідають ролям працівників.
Таким чином, з вище наведеного можна зробити висновки, що
багаторівневий захист потрібний не лише великим корпораціям. Малі та середні
підприємства також піддаються кібератакам. Створення надійної систему безпеки
непроста процедура, але цілком реалізуєма. Багаторівнева система безпеки
відрізняється від традиційних заходів тим, що має кілька рівнів захисту. Якщо один
із них вийде з ладу, решта все одно захистить дані організації. Багаторівнева
система безпеки потребує підтримки в актуальному стані і регулярного оновлення
у відповідності з новими досягненнями. До загальних проблем впровадженні цієї
моделі безпеки належать інтеграція різних інструментів, навчання співробітників
та управління складними рівнями безпеки. Багаторівнева система безпеки також
захищає від внутрішніх загроз, для цього в ній використовуються моніторинг,
контроль доступу та шифрування. Це гарантує, що доступ до даних можуть
отримати лише авторизовані особи. Вартість впровадження багаторівневої системи
безпеки залежить від розміру та потреб організації. Як правило, це вимагає великих
інвестицій у програмне та апаратне забезпечення, а також в управління. Слід
зазначити, що багаторівнева безпека гарно узгоджується з хмарними послугами за
рахунок використання специфічних для «хмари» інструментів, до яких відносяться
хмарні брандмауери, шифрування та багатофакторна автентифікація.
2.3 Багаторівневий захист для хмарних та гібридних середовищ
В англомовній літературі багаторівневий захист ще називають
глибокоешелонованим захистом (DiD – Defense in Depth) [4]. Глибокоешелонована
оборона – це стратегія безпеки, яка використовує кілька рівнів захисту для захисту
інформації та інформаційних систем. Ця концепція базується на військовій
стратегії, яка захищає позицію, ускладнюючи для противника проникнення через
кілька захисних рівнів. У кібербезпеці багаторівневий захист має на меті
забезпечити, щоб у разі збою одного захисного рівня інші продовжували
забезпечувати захист.
Хоча багаторівневий захист стосується загальної філософії безпеки, що
передбачає використання кількох рівнів безпеки для захисту активів, «Стратегії
ешелонованого захисту» конкретно описують різні методи та практики, що
застосовуються для досягнення цього багаторівневого підходу до безпеки.
По суті, багаторівневий захист є керівним принципом або концепцією, а
стратегії багаторівневого захисту – це фактичні методи, інструменти та політики,
що застосовуються для втілення цієї концепції. Ці стратегії детально описують, як
різні рівні захисту структуровані та взаємопов'язані для захисту від потенційних
порушень на різних рівнях та їх пом'якшення.
Багаторівневий захист часто вважається базовою концепцією будь-якої
ефективної стратегії безпеки. Без взаємопов'язаних рівнів різних захисних
механізмів організації залежать від однієї вразливості або неправильної
конфігурації, що потенційно може призвести до повної компрометації критично
важливих ресурсів.
Хоча це здається очевидною вимогою локальних захисних архітектур, хмарні
середовища часто залишаються позаду. Поширена відсутність рішень для безпеки
кінцевих точок, мінімальне управління інфраструктурою та надмірна роль
ідентифікації в операціях хмарної безпеки часто створюють хибне враження, що
глибоко ешелонований захист у хмарі – це щось на зразок міфу. Якщо
компрометація єдиних кореневих облікових даних для хмарного середовища
дозволяє зловмисникам запускати таблицю, як ми можемо реалізувати глибоко
ешелонований захист?
Розглянемо 4 ключові елементи глибокого захисту від хмарних технологій.
Хоча хмара створює свій унікальний набір викликів, багаторівневий захист у
хмарі є щонайменше таким же важливим і досяжним, як і багаторівневий захист
для локальних середовищ. Адаптація цього архітектурного підходу до хмари
вимагає впровадження елементів, подібних до тих, що знайомі з локальних
середовищ, включаючи надійний моніторинг із надсиланням сповіщень у режимі
реального часу до SOC для розслідування та стримування.
Чотири ключові області є центральними для успішного впровадження
багаторівневого захисту хмари: управління доступом, багаторівневе забезпечення
багатофакторної автентифікації (MFA), впровадження подвійного контролю та
«глибинне виявлення та реагування».
1. Управління доступом
Як знає будь-який фахівець з безпеки, IAM (identity access management) –
король хмари. Просте та доступне керування всіма ресурсами в хмарних
середовищах за допомогою централізованої IAM дозволяє зловмисникам завдавати
величезної шкоди, скомпрометувавши одні облікові дані. Хоча цей ризик,
безумовно, реальний, його не слід розглядати як щось суттєво відмінне від
завдання захисту облікових даних з високими привілеями в локальних
середовищах. Багаторівнева модель контролю доступу, що спирається на обмежені
ролі, передбачені для конкретних потреб, а не на користувачів із широкими
привілеями, є ключем до створення «глибини» в хмарному захисті.
Подібно до того, як 3-рівнева модель може зменшити просте підвищення
привілеїв у середовищах Active Directory, детальні ролі з найменшими привілеями
в хмарі значною мірою пом'якшують вплив компрометації облікових даних. Коли
жодному користувачеві IAM не надаються негайні високі привілеї, а натомість
доводиться виконувати різні ролі, компрометація одних облікових даних не
призведе до негайної компрометації цілих середовищ зловмисниками.
Ці припущення щодо ролей слід обмежувати дозволеними вихідними IP-
адресами (в ідеалі, серверами переходів) для більш конфіденційних операцій. Хоча
деякі привілейовані ролі все ще можуть використовуватися, доступ до них
вимагатиме додаткових кроків або додаткових компрометацій облікових даних, які
SOC може виявити та запобігти, оскільки зловмисники докладають більше зусиль
для досягнення своїх цілей.
Остання важлива рекомендація для ефективного управління доступом у
хмарі полягає в повній відмові від регулярного використання root-акаунтів. Хоча
інші адміністративні облікові записи можна обмежити за допомогою політик
управління доступом, скомпрометований хмарний root-акаунт не можна ефективно
блокувати за допомогою багаторівневої моделі доступу.
У переважній більшості випадків облікові записи root не слід
використовувати для будь-яких щоденних операцій. Після створення хмарного
облікового запису та створення відповідних адміністративних користувачів,
облікові дані облікового запису root можна зберігати офлайн та використовувати
лише у вкрай рідкісних випадках, дотримуючись ретельно визначених протоколів.
Після того, як облікові записи root безпечно керуються офлайн, усіма іншими
видами доступу можна ефективно керувати для забезпечення глибоко
ешелонованого захисту.
2. Багаторівневе забезпечення багатофакторної автентифікації
Як показали багато нещодавніх атак, багатофакторна автентифікація сама по
собі не є ідеальним рішенням. Зловмисники, які використовують втому MFA,
здійснюють повноцінні атаки типу «посередник» для крадіжки кодів MFA або
захоплюють сеанси, вже автентифіковані за допомогою MFA, частково підірвали
довіру до MFA як до найкращого захисника конфіденційних даних.
Однак, застосування кількох рівнів багатошарової автентифікації (MFA) у
хмарних середовищах може значною мірою допомогти у створенні глибоко
ешелонованого захисту.
Ключем до багаторівневої багатофакторної автентифікації (MFA) є повторна
вимога MFA щоразу, коли відбувається спроба доступу до потенційно
конфіденційних ролей або систем. За цією моделлю навіть викрадений або
перехоплений сеанс, спочатку автентифікований за допомогою MFA, не дозволить
зловмисникам досягти всіх своїх цілей без повторного проходження процесу MFA.
Хоча практичні міркування не вимагають багатофакторної автентифікації
(MFA) для кожної дії, особливо чутливі дії, такі як доступ до унікально
конфіденційних даних, виконання делікатних операцій, таких як видалення,
шифрування або експорт систем або великих обсягів даних, зазвичай можуть бути
предметом додаткової вимоги MFA.
Оскільки ці операції не є надзвичайно поширеними, додаткові незручності
для законних користувачів не будуть надмірними, тоді як потенційна перешкода
для зловмисників буде разючою. Звичайно, якщо багатофакторну автентифікацію
(MFA) можна подолати один раз, її можна подолати кілька разів. Однак, такий
багаторівневий підхід до MFA зменшує ймовірність швидкого доступу
зловмисників до ключових ресурсів, створюючи додаткові можливості (і
додатковий час) для захисників для виявлення та зупинки найгірших частин
потенційних атак.
3. Подвійне керування
Ефективне управління доступом та багатофакторна автентифікація (MFA)
значною мірою сприяють створенню багаторівневого захисту в хмарних
середовищах, але може бути недостатньо проти рішучих та наполегливих
зловмисників.
Викрадення існуючих привілейованих сесій та внутрішні загрози
залишаються критичними ризиками, які не повністю пом'якшуються цими
заходами. Як доводить інцидент з криптовалютною біржею, деякі активи настільки
чутливі, що будь-який зловмисник, який отримає над ними контроль, може
призвести до найруйнівніших наслідків.
Боротьба з цим страшним ризиком вимагає визнання того, що деякі ролі є
просто занадто привілейованими для будь-якої окремої людини, а деякі активи є
занадто чутливими, щоб ними керувала якась окрема система.
Впровадження принципу подвійного контролю над найбільш чутливими
системами та операціями означає обов'язкове використання щонайменше двох
окремих та незалежних режимів автентифікації та авторизації для виконання
певних операцій.
Для ручних операцій це легко зробити, наприклад, вимагаючи від кількох
користувачів, кожен з яких має власні облікові дані та багатофакторну
автентифікацію (MFA), вручну схвалювати такі операції, як видалення ресурсів або
переказ великих сум грошей. Це аналогічно добре відомим фінансовим контролям,
таким як вимога від двох різних уповноважених користувачів ініціювати та
схвалювати вихідні платіжні доручення понад певний поріг.
Хоча це менш інтуїтивно зрозуміло, той самий принцип можна реалізувати
для автоматизованих систем, забезпечивши розділення унікально чутливих
операцій, що виконуються програмами, на окремі та незалежні системи
авторизації.
Реалізація відрізнятиметься залежно від конкретних систем, але давайте
повернемося до наших друзів - бірж криптовалют для прикладу. Щоб запобігти
подібним майбутнім атакам, ми впровадили наступне рішення для великих
виведень коштів клієнтами:
• клієнт ініціює запит на двох окремих системах, спрощено позначених тут як
сервери A та B.
• сервер A — єдина машина, здатна ініціювати операцію виведення коштів зі
стороннім партнером, що забезпечується системою контролю доступу.
• сервер B (в окремому середовищі, керованому за допомогою інших
облікових даних) – це єдина машина, яка має доступ до облікових даних,
необхідних для підписання операції зняття коштів.
• сервер B самостійно отримує запит на виведення коштів та підписує дійсну
операцію, але не може її ініціювати, натомість надсилаючи підписану
операцію на сервер A.
• сервер A самостійно отримує запит на виведення коштів, потім перевіряє
підписану операцію від сервера B та ініціює транзакцію.
Ця спрощена архітектура дозволяє автоматизувати зняття коштів клієнтами,
але уникає створення єдиних точок відмови завдяки впровадженню подвійного
контролю. Ефективне розділення серверів A та B означає, що зловмисник, який
скомпрометує будь-який з них, не матиме можливості ініціювати шкідливі
транзакції, не скомпрометувавши окремо інший окремо керований сервер для
досягнення цієї мети. Поки ця додаткова спроба компрометації буде здійснена,
захисники матимуть набагато більше можливостей для виявлення та запобігання
успішній атаці.
4. Глибоке виявлення та реагування
Забезпечення ефективної «глибини» захисту від хмарних атак вимагає
впровадження традиційних підходів до виявлення та стримування загроз у хмарі.
Звичайна відсутність EDR, брандмауерів та сегментації фізичної мережі в
хмарних середовищах, на жаль, часто призводить до «байдужого» ставлення до
виявлення та реагування. Таке ставлення часто спирається на кілька джерел
журналів та автоматизовані механізми стримування для виявлення атак, що значно
підвищує ймовірність невдалих виявлень.
Натомість, зріла схема виявлення хмарних даних повинна постійно
моніторити, збагачувати та співвідносити журнали з усього середовища.
Поєднання подій з усіх площин хмарного керування, ідентифікації,
обчислень, даних та мережі з відповідними журналами програм спрощує
впровадження розширених сповіщень для виявлення потенційного
горизонтального переміщення та ескалації привілеїв.
Коли для створення «глибинного виявлення» використовується такий
комплексний підхід, він швидко дозволяє встановити однаково «глибокі»
процедури реагування. Замість того, щоб покладатися на окремі вузькі місця
стримування, такі як відключення користувачів, комплексне оповіщення дозволяє
швидко та точно стримувати дії на рівні ресурсів, наприклад, зупиняючи
скомпрометовані екземпляри або обмежуючи доступ до критично важливих даних.
Такий спільний підхід «глибинного виявлення та реагування» є ключовим
для боротьби з атаками, водночас маючи мінімальний вплив на виробництво.
CNAPP та Стратегія глибокоешелонованого захисту
Ефективне використання хмарної платформи захисту додатків (CNAPP)
забезпечує комплексну стратегію глибокого захисту для хмарної безпеки. Ця
стратегія охоплює багаторівневий підхід, починаючи від запобігання атакам до
виявлення та реагування в режимі реального часу.
Профілактика:
• безагентна видимість: на відміну від традиційних інструментів, CNAPP
можуть отримувати цінну інформацію про хмарну активність без необхідності
встановлення програмного забезпечення на кожен пристрій (агент). Це
забезпечує ширшу видимість та швидше виявляти потенційні вразливості;
• зниження ризиків: CNAPP постійно сканують ваше хмарне середовище на
наявність неправильних конфігурацій та небезпечних практик. Проактивно
усуваючи ці слабкі місця, ви значно зменшуєте поверхню для атаки
зловмисників.
Виявлення та реагування:
• Легкий захист робочих навантажень: CNAPP розгортають легкі агенти в
робочих навантажень для моніторингу активності в режимі реального часу. Це
дозволяє негайно виявляти підозрілу поведінку, потенційно виявляючи
порушення в міру їх виникнення;
• повна видимість: ключовою перевагою CNAPP є їхня здатність забезпечувати
повну видимість атак у всьому хмарному середовищі. Це включає
інфраструктуру, код і робочі навантаження, що дозволяє отримати повне
розуміння масштабів атаки;
• швидше та ефективніше реагування: завдяки виявленню загроз у режимі
реального часу та повній видимості атак, CNAPP дозволяють командам
безпеки реагувати швидко та ефективно. Це може включати автоматизовані
дії, такі як ізоляція заражених робочих навантажень або блокування
шкідливого трафіку.
Також існують реалії гібридних та мультихмарних середовищ. Підприємства
з гібридними середовищами стикаються зі складнощами захисту локальних систем,
зокрема з непослідовними засобами контролю безпеки. Рішенням цих проблем є
його багаторівневий захист кінцевих точок, сховищ даних, мереж та додатків.
Ефективним інструментом глибокого ешелонованого захисту є інтегровані
рішення від компанії Wiz: Wiz Code, Wiz Cloud та Wiz Defend [4]. Кожен компонент
охоплює певні рівні безпеки, щоб забезпечити надійний захист у всьому хмарному
середовищі.
1. Wiz Code: безпечна хмарна розробка
• безпека коду: виявляє вразливості, розкриті секрети та неправильні
конфігурації в кодовій базі, запобігаючи потраплянню ризиків у продакшн;
• сканування інфраструктури як коду (IaC): аналізує шаблони IaC на наявність
неправильних конфігурацій та перевіряє їх на відповідність понад 1000
правилам для таких платформ, як Terraform, CloudFormation та Kubernetes;
• інтеграція розробників: забезпечує зворотний зв'язок щодо безпеки в режимі
реального часу безпосередньо в інтегрованих середовищах розробки (IDE) та
запитах на впровадження, що дозволяє розробникам оперативно вирішувати
проблеми.
2. Wiz Cloud: керування безпекою
• безагентна видимість: забезпечує повну видимість багатохмарних середовищ
без необхідності залучення агентів, що сприяє ефективній оцінці ризиків;
• пріоритизація ризиків: використовує Wiz Security Graph для співвіднесення
вразливостей, неправильних конфігурацій та ризиків для ідентифікації, що
дозволяє ефективно визначати пріоритизацію та виправляти проблеми;
• моніторинг відповідності: постійно оцінює відповідність вимогам таких
фреймворків, як PCI, GDPR та HIPAA, надаючи автоматизовану звітність для
забезпечення дотримання нормативних стандартів.
3. Wiz Defend: реагування на хмарні загрози
• захист середовища виконання: використовує Wiz Runtime Sensor для
моніторингу запущених процесів, мережевих підключень та системної
активності в режимі реального часу, виявляючи та реагуючи на шкідливу
поведінку;
• налаштовувані правила виявлення: дозволяє створювати власні правила
виконання та політики реагування, що забезпечує індивідуальне виявлення
загроз та автоматизоване реагування на загрози з високим рівнем
достовірності;
• інтеграція розвідки загроз: включає аналітичні дані Центру загроз Wiz,
надаючи актуальну інформацію про нові тактики, методи та процедури
зловмисників, що працюють у хмарі.
Інтегруючи ці рішення, Wiz пропонує багаторівневий підхід до глибокого
захисту, захищаючи весь життєвий цикл хмарних додатків від розробки до
розгортання та виконання.
2.4 Впровадження багаторівневої системи захисту інформаційних
ресурсів
Основна проблема впровадження багаторівневого захисту полягає в тому, що
якщо його ретельно не спланувати, підприємства можуть врешті-решт захистити
деякі аспекти за допомогою кількох засобів захисту, але повністю ігнорувати інші,
залишаючи прогалини в безпеці, які можуть мати руйнівні наслідки.
Немає жодних простих шляхів до впровадження багаторівневого захисту.
Організації не можуть просто зібрати різноманітні інструменти та методи разом і
завершити цей процес. Успішне впровадження багаторівневого захисту повинно
включати найкращі практики, викладені CISA [9]:
1. Визначаються ключові активи та рівні для захисту. Це дозволить визначити
пріоритети для найбільш критичних та високоризикових активів і
застосувати правильні засоби контролю безпеки для кожного з них.
2. Встановлюється взаємозв'язок між загрозами, вразливостями,
зловмисниками та заходами безпеки, які впроваджуються. Ці дані дозволять
зрозуміти, як зловмисники порушують ІТ-системи, незважаючи на вжиті
заходи безпеки, щоб можна б було розробити контрзаходи для відбиття атак.
3. Використовуються рішення безпеки, які інтегрують кілька рівнів, щоб
мінімізувати сліпі зони.
4. Забезпечується дотримання стандартів та політик шляхом впровадження
відповідних заходів безпеки.
5. Застосовуються основні методи безпеки, такі як шифрування, доступ з
найменшими привілеями та нульова довіра.
6. Здійснюється постійний контроль всіх рівнів. Це вимагає використання таких
інструментів, як управління безпекою даних, управління безпекою хмарних
технологій, а також рішень для виявлення та реагування на загрози.
7. Забезпечується випередження загроз, за рахунок періодичної перевірки та
оновлення інструментів й політики безпеки.
3. ЕТАПИ ВПРОВАДЖЕННЯ БАГАТОРІВНЕВОГО ЗАХИСТУ
3.1 Загальні відомості про організацію
Об’єктом інформаційної діяльності є інформаційно телекомунікаційна
система приватної організації. Напрямок діяльності підприємства: виробництво та
оптова торгівля товарами широкого вжитку. Підприємство має офіси, та магазини
в багатьох містах України. Тому виникає потреба в реалізації електронного
документообігу між філіалами та синхронізації подій в базі даних CRM
(маркетингові дані, продаж товарів, їх відправлення, контракти, взаємодія з
постачальниками) через мережу Інтернет.
Будемо вважати, що приватна організація – це автоматизована система класу
3, а саме – розподілений багатомашинний багатокористувацький комплекс, який
обробляє інформацію різних ступенів обмеження доступу. Ключовою ознакою
таких АС є необхідність передачі інформації через незахищене середовище або, в
загальному випадку, наявність вузлів, що реалізують різну політику безпеки.
Автоматизована система представляє собою організаційно-технічну систему,
що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану
інформацію. Загальна схема комп’ютерної системи підприємства полягає у
об’єднанні робочих станцій в єдину локальну мережу по схемі клієнт-сервер.
Головним носієм і центром баз даних, документів, обліку є локальний сервер.
Робочі станції, які використовують працівники відділу, мають стандартну технічну
характеристику, необхідну для якісної роботи з документами та базами даних.
Комунікація між філіалами з використанням електронної пошти та синхронізації
бази даних CRM здійснюється через мережу Інтернет.
Досліджувана приватна організація не є об’єктом критичної інфраструктури
та не входить в перелік підприємств які мають стратегічне значення для економіки
і безпеки держави.
Відповідно до чинного законодавства України і вимог окремих нормативних
документів Закону України «Про захист персональних даних» інформація з
обмеженим доступом (в тому числі персональні дані громадян України) підлягає
обов’язковому захисту. Оскільки приватна організація оперує інформаційними
ресурсами мережі магазинів, у їхньому складі є такі дані, до яких необхідно
обмежити доступ. Згідно з вимогами чинного законодавства, персональні дані
клієнтів потребують забезпечення конфіденційності. Інформація, що зберігається в
базі даних CRM потребує забезпечення цілісності та доступності, оскільки від
стану безпеки цієї інформації залежить стабільна робота підприємства.
Початковим етапом впровадження системи захисту є обстеження середовищ
функціонування інформаційно-телекомунікаційної системи. Воно передбачає
аналіз обчислювальної системи, фізичного середовища, середовища користувачів
та оброблюваної інформації. Мета такого аналізу полягає у формуванні загального
плану щодо забезпечення захисту інформації, виявлення компонентів системи, які
вимагають підвищених вимог до захисту інформації і впровадження додаткових
заходів захисту.
Визначено загальні середовища функціонування.
Середовище обчислювальної системи ІТС представлене глобальною
обчислювальною мережею, з наявністю головного поштового серверу та головного
серверу CRM та локального файлового серверу для кожного філіалу.
Фізичне середовище представлене наявністю приміщень з різним режимом
доступу, де особливого захисту потребують приміщення для конфіденційних
нарад, серверна кімната; наявністю систем життєзабезпечення, систем заземлення
тощо.
Середовище користувачів представлене наявністю:
• адміністраторів, що забезпечують функціонування програмного та
апаратного забезпечення, виконання вимог політики безпеки;
• користувачів, що виконують обробку інформації;
• технічного обслуговуючого персоналу, що забезпечують належні умови
праці та функціонування АС.
Інформаційне середовище представлене наявністю відкритих даних,
інформації з обмеженим доступом та конфіденційної інформації (відомості про
зміст баз даних, конфіденційні документи, відомості, що розкривають систему
охорони, технічного оснащення щодо охорони, відомості про аутентифікаційні дані
і т.д.).
3.2 Модель багаторівневої системи захисту інформаційних ресурсів
приватної організації
В даній роботі в основі моделі інформаційних ресурсів приватної організації
розглядаються потенційні загрози, націлені на основні компоненти досліджуваної
мережі, включаючи програмні та програмно-апаратні засоби, а також аналізуться
методи та засоби їх захисту. Очевидно, що на інформаційні ресурси приватної
організації мають вплив як внутрішні так і зовнішні джерела загроз інформаційній
безпеці.
Побудова моделі багаторівневої системи захисту інформаційних ресурсів
приватної організації базується на всебічному аналізі потенційних загроз, які
можуть мати вплив як на програмні, так і на програмно-апаратні складові мережі
організації. Такі загрози можуть надходити як ззовні (наприклад, через хакерські
атаки, сканування мережі чи шкідливий трафік), так і зсередини (внаслідок дій
співробітників, помилок у налаштуваннях чи зловживання доступом).
Інформаційні атаки зловмисники проводять у різних формах: перехоплення даних,
несанкціонований вхід, виведення з ладу вузлів мережі, блокування послуг, зміна
чи стирання ключової інформації. Для успішної протидії таким ризикам мережу
приватної організації потрібно розглядати як єдину систему з чіткими зонами
відповідальності, рівнями доступу та захисними інструментами.
При створенні моделі варто спиратися на три ключові терміни: об’єкт
захисту, загроза безпеці інформації та захисна система. Об’єктом є інформаційно-
телекомунікаційна мережа приватної організації з її серверами, мережевим
обладнанням, каналами зв’язку, ПЗ та потоками даних. Загроза — це потенційна
дія чи подія, що порушує конфіденційність, цілісність або доступність даних.
Система захисту охоплює організаційні, технічні та програмні заходи для
запобігання чи зменшення шкоди від цих загроз.
Спочатку визначають тип інформації в мережі: відкриту чи обмежену. Потім
аналізують структуру організації (відділи, користувачі), виділяють критичні зони
та сегментують мережу логічно й фізично. У сегментах впроваджують засоби:
фаєрволи, IPS, контроль доступу, антивіруси. Оцінка захищеності — ключовий
крок; найчастіша проблема — витік через несанкціонований доступ.
Для виявлення атак застосовують традиційні підходи (сигнатурний та
контекстний аналіз) і AI-методи: моделі станів мережі, генетичні алгоритми,
нейромережі, експертні системи. Вони не тільки фіксують атаки, а й прогнозують
їхній розвиток.
На основі вищезазначеного можна сформулювати алгоритм побудови моделі
багаторівневої системи захисту інформаційних ресурсів приватної організації
(рис.3.1).
Рисунок 3.1 – Блок-схема побудови моделі багаторівневої системи захисту
інформаційних ресурсів приватної організації [10]
На основі алгоритму побудови багаторівневої системи захисту
інформаційних ресурсів приватної організації на рис.3.2 представлено структурну
схему мережі. На цьому рисунку позначено: К – комутатор; М – маршрутизатор;
ФВМ – файєрвол; IPS – система виявлення вторгнень. Мережа має дві зони:
внутрішню та демілітаризовану (DMZ). Інформаційна мережа приватної організації
містить два загальнодоступні сервери, розташовані в демілітаризованій зоні DMZ:
зовнішні сервери DNS та WWW. У внутрішній мережі розміщено внутрішні
сервери DNS та WWW організації. Трафік локалізується в сегментах 1 та і.
Зовнішній файєрвол разом із IPS виконує фільтрацію трафіку з зовнішньої мережі
для захисту периметра та внутрішньої мережі приватної організації і функціонує на
мережевому та транспортному рівнях. Внутрішній файєрвол спільно з IPS захищає
внутрішню мережу від загроз інформаційної безпеки, що походять із зовнішньої
мережі та з периметру, і працює на мережевому, транспортному та прикладному
рівнях.
Рисунок 3.2 – Схема сегментації інформаційної мережі та меж захисту [10]
Мережа забезпечена двома рівнями (ешелонами) захисту: зовнішній фаєрвол
разом з IPS формує перший бар'єр, а внутрішній фаєрвол з IPS – другий. Кожен
хост у внутрішній і зовнішній мережах додатково оснащений локальними
засобами: антивірусами, контролем прав доступу, аудитом, моніторингом
з'єднань, захистом каталогів і файлів від несанкціонованого входу.
Захист критичних даних.
У внутрішній зоні розміщено сервер з конфіденційною інформацією –
персональними даними співробітників, стратегічними планами розвитку,
фінансовими відомостями, – яка вимагає забезпечення конфіденційності,
цілісності та доступності (CIA). У DMZ розташовано сервер з публічною
інформацією про товари та послуги організації, що потребує лише цілісності й
доступності; доступ до нього відкрито для інтернет-користувачів.
Ключові загрози.
Основні ризики для інформаційних ресурсів виникають на мережевому
рівні: перехоплення трафіку зловмисниками, порушення роботи компонентів
мережі, що спричиняє DoS-атаки через протоколи TCP/IP. Найсерйозніша загроза
— витік даних через несанкціонований доступ до ресурсів.
Стан інформаційної системи характеризується трьома параметрами:
множиною об'єктів (ресурсів), суб'єктів (користувачів) та прав доступу між ними;
перехід між станами відбувається при зміні будь-якої з цих множин.
3.3 Організаційні заходи багарівневого захисту
Організаційні методи захисту інформації полягають в створенні безпечних
процедур роботи з конфіденційною інформацією. Сюди входять заходи та дії, які
повинен здійснювати персонал при експлуатації системи.
Один із важливих заходів – це складання посадових інструкцій для
користувачів та обслуговуючого персоналу. Посадова iнструкцiя – це обов’язковий
кадровий документ, розробка якого є обов’язковою на пiдприємствi. В посадових
інструкціях зазначені обов'язки персоналу відповідно до посади, яку вони
займають.
Для всіх працівників повинні проводитися навчальні лекції та тренінги щодо
виявлення актуальних загроз інформаційній безпеці та їх протидії. Це знизить
ризик реалізації загроз, які пов’язані з людським фактором. Такі інформаційні
кампанії мають проводитись регулярно через постійний розвиток загроз на основі
соціальної інженерії. Для підтвердження обізнаності персоналу і оцінки
ефективності інформаційної кампанії потрібно проводити періодичні тестування та
перевірки, які здійснюється через симуляцію загрози.
Важливим аспектом при впровадженні організаційних заходів захисту є
послідовне застосування заходів захисту на всіх філіалах організації. Тому
політики безпеки мають реалізувати одні і ті ж вимоги до забезпечення
інформаційної безпеки.
Для регламентування порядку дій у випадку виникнення інциденту
інформаційної безпеки, необхідно розробити та підтримувати плани реагування, у
тому числі реагування на інциденти (incident response plan) та забезпечення
безперервності бізнесу (business continuity plan). Плани реагування мають
охоплювати відновлення стабільності надання послуг, що надається
підприємством. Загальні етапи планування передбачають підготовку, виявлення та
аналіз, стримування, відновлення, діяльність після інциденту, комунікацію та
координацію. Необхідно запровадити регулярний перегляд та оновлення своїх
планів реагування.
Плани реагування мають бути задокументовані в паперовій формі або в
окремій ізольованій системі, яка не може бути скомпрометована під час кібератаки.
ІТ-персонал, який залучений до відновлення інфраструктури, повинні пройти
навчання щодо того, де знайти план реагування, а також дій, яких необхідно вжити
в рамках реагування на інцидент.
Перелік планів для забезпечення стабільності роботи автоматизованої
системи та доступності інформації і послугє
План реагування на інциденти (Incident response plan)
Під час інциденту наявність чітких процедур допоможе швидко й ефективно
локалізувати та усунути загрозу НСД. Для кожної загрози визначаються чіткі
кроки, які ІТ-персонал має вжити для виявлення, ізоляції та відновлення після
інциденту, включно з процедурами документування рішень і збору доказів.
План безперервності бізнесу (Business continuity plan)
Для досягнення безперервності бізнесу потрібно розробити план відновлення
послуг та дотримуватися його. План містить програму дій, яка дасть можливість
організації відновити свою діяльність після усунення інциденту. План має містити
такі дані, як перелік місць, де можуть бути потрібні послуги відновлення, контактні
дані для технічної підтримки та план дій для відновлення діяльності. Застосування
плану безперервності бізнесу забезпечує стабільну і надійну роботу підприємства.
План аварійного відновлення (Disaster recovery plan)
Це задокументований набір процедур, що містить вичерпний опис дій з
відновлення, які необхідно виконати до, під час і після катастрофи. DRP зазвичай
документується як в електронному, так і в паперовому вигляді, щоб гарантувати,
що він буде легкодоступним під час будь-якого типу катастрофи. Катастрофа може
бути природною, екологічною або спричиненою людьми, навмисно чи ненавмисно.
Організації повинні розробляти, підтримувати та перевіряти плани аварійного
відновлення для своїх середовищ, щоб мінімізувати вплив подій шляхом
оптимізації часу, необхідного для відновлення можливостей.
Існує ряд організаційних заходів для запобігання витоку інформації.
Для проведення конфіденційних нарад та переговорів повинно бути виділене
окреме приміщення, яке має технічні засоби для протидії витоку інформації.
Приміщення має бути обладнане кондиціонером, тому що відкриття вікон, дверей
в ході наради не допускається. Вікна закриваються світлонепроникними шторами.
Для запобігання витоку інформації через закладні пристрої (приховані
мікрофони, приховані відеокамери) необхідно регулярно перевіряти приміщення
на їх наявність спеціальними засобами. При цьому варто враховувати що існують
різні принципи дії закладних пристроїв. Вони можуть не працювати постійно для
економії енергії автономного живлення і можуть бути активовані лише по команді
через канал зв’язку (радіо, GSM, Bluetooth і т.д.) або через голос; такі пристрої
можуть не транслювати аудіо/відео потік в реальному часі, а записувати його на
флеш-пам’ять (наприклад SD-картку). Тому необхідна детальна перевірка з
врахуванням всієї моделі загроз.
Для запобігання несанкціонованого доступу до серверів, має бути
впроваджений режим доступу до серверної кімнати з наступними вимогами:
• створення обмеженого переліку осіб що мають доступ до серверної кімнати.
Обов’язковий облік доступу через журнал та систему відеоспостереження;
• серверна кімната має бути завжди закритою, окрім випадків коли
відповідному персоналу необхідно виконати свою роботу в цій кімнаті;
• використання захисних саморуйнівних наклейок для індикації цілісності
обладнання.
3.4 Заходи захисту корпоративної мережі
Відповідно до найкращих світових практик, організаційні і технічні заходи
захисту інформації в інформаційно-комунікаційних системах розроблені на основі
моделі Zero Trust (модель нульової довіри).
Модель Zero Trust передбачає, що жодний інформаційний ресурс не може
бути повністю довіреним. Кожний запит на доступ до інформації в інформаційних
ресурсах має бути перевірений і авторизований на основі всіх доступних даних,
таких як аутентифікаційні дані користувача, місцезнаходження, пристрій, з якого
здійснюється запит, класифікація прав доступу до даних. Також передбачається
моніторинг всіх подій які відбуваються в автоматизованій системі та їх аналіз.
Таким чином, модель Zero Trust обмежує можливості зловмисника в разі
атаки на комп’ютерну мережу або застосування шкідливого програмного
забезпечення, а системні адміністратори мають можливість виявити атаку на
ранніх етапах. Також впровадження цієї моделі значно ускладнює здійснення
витоків інформації завдяки вимоги обов’язкової багатофакторної аутентифікації та
авторизації. Завдяки системі збору та аналізу подій в автоматизованій системі,
відділ інформаційної безпеки підприємства може легко виявити причину
виникнення інцидентів інформаційної безпеки.
Модель Zero Trust передбачає впровадження наступних заходів:
• обов'язкова аутентифікація та авторизація на основі всіх доступних даних
користувача. Аутентифікація за декількома факторами значно ускладнює
отримання несанкціонованого доступу до інформаційних ресурсів;
• обмеження прав доступу всіх облікових записів лише необхідними даними
та функціями;
• при налаштуванні програмного та апаратного забезпечення необхідно
вимикати або обмежувати функціонал який не використовується. Для
зменшення ризику застосування відомих вразливостей;
• впровадження системи збору та аналізу подій робочих станцій та серверів.
Така система дозволяє виявити кібератаки на ранніх етапах;
• для віддаленого доступу до мережі підприємства необхідно використовувати
корпоративний VPN.
Для розмежування доступу до інформації в локальній мережі підприємства,
пропонується використання програмного комплексу Delinea Privileged Access
Management.
Delinea Privileged Access Management (PAM) це програмне забезпечення, яке
допомагає управляти доступом до привілейованої інформації в локальній мережі.
PAM забезпечує аутентифікацію та авторизацію користувачів на основі ролей, що
дозволяє контролювати доступ до ресурсів налаштуванням політики безпеки для
різних груп користувачів.
Delinea PAM дозволяє створювати та керувати унікальними
ідентифікаторами з низькими привілеями для всіх облікових записів, які
потребують привілейованого доступу, включаючи персонал, ПЗ та служби. Також
Delinea PAM дозволяє надавати доступ за потребою та забезпечувати
багатофакторну аутентифікацію. Перевагою ПЗ Delinea PAM є сумісність з ОС
Microsoft Windows і Microsoft Active Directory.
В якості додаткового фактору аутентифікації можна застосовувати апаратні
токени, що мають форм-фактор флеш носія, наприклад Yubikey 5.
Рисунок 3.3 – Апаратний токен Yubikey 5
Засоби антивірусного захисту забезпечують захист від шкідливого
програмного забезпечення і аналіз ресурсів локальної мережі підприємства на
наявність шкідливого програмного забезпечення. У разі виявлення ШПЗ,
антивірусний захист нейтралізує руйнівні дії та розповсюдження ШПЗ.
Рекомендується використання таких програмних засобів з діючим експертним
висновком:
• програмний продукт антивірусного захисту ESET Endpoint Security для
Windows (EES) версії 9.Х з системою централізованого керування захистом
корпоративних мереж ESET PROTECT версії 9.Х, виробництва компанії
ESET, spol.s.r.o, (Словацька Республіка). ESET Endpoint Security це
антивірусне ПЗ призначене для захисту робочих станцій. Експертний
висновок №28ЕВ Дійсний з 16.08.2022 (до кінця дії воєнного стану в
Україні);
• програмний продукт антивірусного захисту ESET Server Security для
Microsoft Windows Server (ESSW) версії 9.Х з системою централізованого
керування захистом корпоративних мереж ESET PROTECT версії 9.Х,
виробництва компанії ESET, spol.s.r.o, (Словацька Республіка). ESET Server
Security це антивірусне ПЗ призначене для захисту серверів на базі ОС
Microsoft Windows Server. Експертний висновок №30ЕВ Дійсний з 16.08.2022
(до кінця дії воєнного стану в Україні);
• Програмний продукт антивірусного захисту ESET Server Security для Linux
(ESSL) версії 8.Х виробництва компанії ESET, spol.s.r.o. (Словацька
Республіка). ESET Server Security це антивірусне ПЗ призначене для захисту
серверів на базі Linux дистрибутивів. Експертний висновок №1327 Дійсний
з "9" лютого 2023 до "9" лютого 2026.
Система централізованого керування захистом корпоративних мереж ESET
PROTECT дозволяє відділу інформаційної безпеки приватної організації
дистанційно налаштовувати параметри роботи антивірусного ПЗ на робочих
станціях і серверах. Варто зазначити, що ефективний захист за допомогою
антивірусного ПЗ досягається через регулярне оновлення антивірусних баз.
Засоби мережевого захисту інформації передбачають перш за все
міжмережеві екрани, які керують проходженням мережевого трафіку відповідно до
правил захисту. Набір мережевих засобів виробництва Cisco Systems, які можна
використовувати у даній АС наведені на рисунках 3.4-3.6.
Пристрої мережевого захисту Cisco ASA – призначені для побудови
комплексного захисту IP-мереж, поєднують в собі брандмауер з системою
запобігання вторгнень.
Рисунок 3.4 – Пристрої мережевого захисту Cisco ASA
Комутатори Cisco серії Nexus версії 8.х – призначені для з'єднання декількох
вузлів комп'ютерної мережі в межах одного сегмента.
Рисунок 3.5 – Комутатор Cisco серії Nexus
Маршрутизатори Cisco ISRхххх – призначені для з'єднання декількох мереж
(при необхідності зв’язку з локальними мережами інших відділів).
Рисунок 3.6 – Маршрутизатор Cisco ISR
Криптографічні засоби включають способи забезпечення конфіденційності
інформації, у тому числі за допомогою шифрування та автентифікації.
• Криптографічний засіб захисту каналів передачі даних: ІР-шифратори
«CryptoIP-448», експертний висновок № 04/05/02-3314, дійсний з 10.12.2020 до
10.12.2025. Пристрої призначені для захисту IP-трафіку локальних мереж,
терміналів і автоматизованих робочих місць.
Рисунок 3.7 – IP-шифратори «CryptoIP-448»
Для захисту від загроз які пов’язанні з електронною поштою необхідно
встановити спам-фільтр на поштовий сервер. Також необхідно увімкнути функцію
захисту поштової скриньки.
SIEM (Security Information and Event Management) - це програмне
рішення, яке допомагає виявляти аномальну активність в локальній мережі та
реагувати на потенційні загрози безпеці до того, як вони нашкодять бізнес-
процесам. SIEM реалізує управління подіями безпеки, що дозволяє в реальному
часі моніторити та аналізувати події, пов’язані з безпекою, а також вести облік та
логування даних безпеки для відповідності нормам або аудиту.
Основні можливості SIEM включають широкий спектр збору та управління
подіями логування з різних джерел. Загальна інформація про активність в
локальній мережі відображається в інформаційні панелі, яка гнучко
налаштовується.
Завдяки використанню шаблонів виявлення вразливостей та поширених атак,
можливо реалізувати автоматизовану систему виявлення інцидентів, але варто
враховувати певний відсоток помилок реагування.
Одним з популярних програмних рішень є Splunk. Splunk — це
спеціалізована SIEM платформа для збору, зберігання, аналізу, моніторингу та
аналітики інформації. Особливість платформи полягає в роботі з різними
джерелами даних, на кшталт віртуальних машин і фізичних пристроїв, хмари, CRM
системи.
Splunk має вбудований штучний інтелект, який працює з інформацією в
реальному часі і ділить вхідну інформацію на значення і поля. Вся аналітика і
візуалізація інформації відбувається в автоматичному режимі або з використанням
спеціалізованих модулів.
У продукті реалізовано великий набір операцій з даними для забезпечення
інформаційної безпеки, включаючи оцінку рівня безпеки системи, моніторинг
подій, попередження та обробку інцидентів, аналіз порушень і реакція на них,
кореляцію подій.
Рекомендується використання DLP (Data Leakage Prevention) для запобігання
витоку ІзОД або її фрагментів через електронні канали зв’язку (електронна пошта,
месенджери, флеш-носії, хмарні середовища, файлообмінники). В даній роботі
пронується використання програмного продукту захисту інформації Safetica Full
DLP, виробництва компанії Safetica Technologies (Чехія). Має експертний висновок
№1082, дійсний з 24.01.2020 до 24.01.2023 (термін дії продовжено до кінця дії
воєнного стану в Україні).
Засоби мережевого захисту інформації передбачають перш за все
міжмережеві екрани, які керують проходженням мережевого трафіку відповідно до
правил захисту. Для даної автоматизованої системи можна використовувати
гібридний фаєрвол нового покоління FortiGate. Засіб мережевого засобу має
експертний висновок №954, дійсний з 17.04.2019 до 17.04.2022 (термін дії
продовжено до кінця дії воєнного стану в Україні).
Окрім функцій міжмережевого екрану, FortiGate дозволяє впровадити
корпоративну віртуальну приватну мережу (VPN) для безпечного віддаленого
доступу до локальної мережі підприємства через зашифрований тунель.
Обов’язково має бути розроблена процедура своєчасного оновлення
встановленого всього програмного забезпечення, операційної системи і прошивок
на всіх пристроях що входять в склад АС.
3.5 Методи захисту конфіденційних даних приватної організації та
тренди у сучасній кібербезпеці
Для протистояння встановленим загрозам безпеці інформації організації
мають впроваджувати сучасні технології та інструменти захисту. Ось основні
методи, які допомагають запобігти витоку та несанкціонованому доступу до даних:
Забезпечення централізованого зберігання комерційних даних. Вся важлива
документація та інформація на будь-якому носії повинна зберігатися в захищених
місцях, на серверах, банках зберігання, архівах, з обмеженням доступу до них. Це
полегшує контроль працівників, які мають права доступу до сховища, та мінімізує
впливи, спрямовані на дані, що зберігаються.
Забезпечує захист голосових каналів зв'язку з використанням IP-телефонії.
Зв'язок через програми та дзвінки з використанням інтернету стали дуже
популярними як у звичайних користувачів, так і у бізнес-спільноти. Тому виникла
необхідність захисту таких дзвінків за допомогою шифрування, моніторингу та
перехоплення, що знижує можливість витоку даних через телефонні розмови, а
також дозволяє відстежити джерела витоку.
Захист даних клієнтів. У повсякденній роботі використовується велика
кількість конфіденційних даних клієнтів як приватних осіб, так і юридичних.
Упорядкування їх зберігання, обліку та використання у роботі забезпечується
спеціалізованими обліковими програмними комплексами типу Customer
Relationship Management або CRM, які допомагають централізовано зберігати
інформацію про клієнтів, автоматично фіксувати дзвінки та взаємодії з ними. Це не
лише спрощує керування даними, а й підвищує рівень конфіденційності та захисту
клієнтських відомостей.
Безпека Wi-Fi та резервне копіювання. Захищені Wi-Fi-мережі з
використанням складних паролів та шифрування знижують ризики
несанкціонованого доступу. Регулярне резервне копіювання даних як на
локальних, так і на віддалених серверах забезпечує їх збереження навіть у разі збоїв
або атак.
Захист фінансових систем. Система клієнт-банківських операцій - одна з
найбільш вразливих точок доступу для кібератак, оскільки одночасно тут
використовується передача великого пулу важливих комерційних відомостей.
Рекомендується використання двофакторної аутентифікації, шифрування та
регулярного оновлення програмного забезпечення для мінімізації ризиків для
інформації.
Аудит та контроль. Регулярний аудит систем безпеки дозволяє виявляти
вразливості та оперативно вживати заходів щодо їх усунення. Контроль за
дотриманням усіх процедур співробітниками також допомагає підтримувати
високий рівень захисту.
Ці заходи, у поєднанні з постійним моніторингом та оновленням стратегій
безпеки, допомагають бізнесу захистити свої дані та уникнути потенційних загроз.
Кібербезпека є однією з найбільш динамічних і постійно оновлюваних
областей програмного забезпечення, що особливо залежить від іншої області -
кіберзлочинності. Чим більше варіантів шахрайства в мережі, тим більше
розробляється варіантів захисту та мінімізації негативного впливу. Сучасні
технології кіберзлочинців стрімко розвиваються, і методи захисту даних також
повинні адаптуватися до нових викликів. Розглянемо найпередовіші варіанти
захисту. Квантова криптографія. Це один із способів складного захисту цифрових
даних, що використовується як трансформація переданої або збереженої
інформації в зашифрований вигляд з подальшим розшифруванням. Квантові
комп'ютери значною мірою ускладнюють технологічний процес шифрування, що
базується на законах квантової фізики та забезпечує практично непроникний захист
даних. Штучний інтелект (ШІ). Сучасні системи безпеки багато в чому почали
спиратися на технологію ШІ, оскільки це забезпечує одночасний захист інформації
на основі аналізу великої кількості факторів ризику та дій, що впливають на них.
Наприклад, штучний інтелект здатний виявляти аномальні дії в корпоративній
мережі, виявляючи потенційні загрози на ранній стадії та запобігаючи атакам ще
до того, як вони завдадуть шкоди.
ВИСНОВКИ
Багаторівневий захист (DiD – Defense in Depth) – це стратегія кібербезпеки,
спрямована на захист даних, мереж, систем та ІТ-активів за допомогою кількох
рівнів контролю безпеки. Багаторівневий захист включає низку дублюючих
захисних механізмів і подібний до ешелонованої оборони середньовічних замків,
які піддавалися нападам протягом багатьох століть. Замки були захищені
багаторівневою архітектурою безпеки — від ровів, високих стін, лучників і
солдатів до таємних тунелів, якщо все інше не допомагало. Подібно до стратегії
захисту середньовічного замку, багаторівневий захист впроваджує додаткові
заходи безпеки та елементи керування на всіх рівнях ІТ-стеку. Це створює
резервування, роблячи ІТ-стек стійким до різних атак зсередини та ззовні.
Ключові компоненти стратегії багаторівневого захисту включають:
• впровадження кількох захисних механізмів на кожному рівні з використанням
таких стратегій, як шифрування, контроль доступу, захист кінцевих точок та
управління вразливостями;
• впровадження резервування в безпеку за допомогою таких заходів, як
багатофакторна автентифікація (MFA), нульова довіра [5], а також резервне
копіювання та відновлення даних;
• ізоляція критично важливих активів, таких як мережі та конфіденційні
сховища даних;
• забезпечення мінімальних привілеїв для захисту конфіденційних даних від
несанкціонованого доступу та витоків даних;
• постійний моніторинг усього ІТ-стеку для раннього виявлення загроз та
покращення стану безпеки організації.
Дотримуючись цих принципів багаторівневого захисту, можна забезпечити
проактивну безпеку та управління ризиками, а також захиститися від поширених
векторів атак, таких як латеральне переміщення та ескалація привілеїв.
Список використаної літератури
1. Комплексна безпека інформаційних мережевих систем: навчальний посібник
для студентів спеціальності 174 «Автоматизація, комп’ютерно-інтегровані
технології та робототехніка» / Укладачі: А.Г. Микитишин, М.М. Митник,
О.С. Голотенко, В.В. Карташов. – Тернопіль : ФОП Паляниця В.А., 2023. –
324 с.
2. Бурячок В. Л. Технології забезпечення безпеки мережевої інфраструктури.
[Підручник] / В. Л. Бурячок, А. О. Аносов, В. В. Семко, В. Ю. Со-колов, П.
М. Складанний. – К.: КУБГ, 2019. – 218 с.
3. Cybercrime and companies in the U.S. - statistics & facts. – Режим доступу:
https://www.statista.com/statistics/293256/cyber-crime-attacks-experienced-by-
us-companies/
4. What is Defense in Depth? Best Practices for Layered Security – Режим доступу:
https://www.wiz.io/academy/defense-in-depth
5. What is zero trust? A cloud security perspective – Режим доступу:
https://www.wiz.io/academy/zero-trust
6. Zero trust vs. defense in depth: What are the differences? – Режим доступу:
https://www.techtarget.com/searchsecurity/answer/Whats-the-difference-
between-zero-trust-vs-defense-in-depth
7. Що таке Kubernetes? – Режим доступу:
https://kubernetes.io/uk/docs/concepts/overview/what-is-kubernetes/
8. Defense in Depth: Cloud Edition. – Режим доступу:
https://www.wiz.io/academy/cloud-defense-in-depth
9. Recommended Practice: Improving Industrial Control System Cybersecurity with
Defense-in-Depth Strategies – Режим доступу:
https://www.cisa.gov/sites/default/files/recommended_practices/NCCIC_ICS-
CERT_Defense_in_Depth_2016_S508C.pdf
10. Дзюбан О. Багаторівнева система захисту інформаційно-телекомунікаційних
мереж від загроз інформаційної безпеки на основі структурної сегментації //
Вісник Хмельницького національного університету, №4 2025 (355). С.140-
144.
11. Землянко Ю.В., Замула О.А., Ткач О.О., Литвинова Н.І., Пересічанська Я.А.
Принципи та порядок розробки комплексних систем захисту інформації в
інформаційно-телекомунікаційних системах // Прикладная
радиоэлектроника, 2010, Том 9, № 3. – С.460-469.
12. Тертичний В.О. Мережна безпека, система виявлення та протидії атакам,
відмовостійкість мереж / В.О. Тертичний. // Харків, ХНУРЕ, Матеріали XXIV
міжнародного молодіжного форуму «Радіоелектроніка та молодь в XXI
столітті». – 2020. C. 281-283.