Брандмауэры компаний: действительно ли это хорошая идея?

Кибербезопасность — это проблема, которая затрагивает всех нас, хотя большинство о ней мало что знает. С самого начала индустрия кибербезопасности упорно пыталась выполнить сизифову задачу: заставить обычного пользователя компьютера не быть небрежным в отношении своей безопасности. Большинство людей имеют лишь поверхностное представление о том, как работают их компьютеры; они не в состоянии принимать обоснованные решения о своей цифровой безопасности. И их нельзя особо винить: цифровые системы с каждым днем ​​становятся все сложнее, а сотрудники не получают должного образования в области кибербезопасности и управления рисками.

Именно здесь процветают плохие люди с плохими намерениями: они отправляют вредоносные электронные письма на электронные адреса компаний, выдают себя за клиентов и даже руководителей, чтобы заставить сотрудников переходить по ссылкам на фишинговые сайты. А поскольку цифровая грамотность большей части рабочей силы остается недостаточной, компании выглядят чрезвычайно уязвимыми, но ценными целями. И вы мало что можете сделать, если речь идет о вашей компании, за исключением отключения вашей рабочей сети, возвращения к хранению документов в металлических шкафах и поступкам, подобным нашим предкам в каменном веке.

Если вы похожи на меня, вы можете подумать о расширенном обучении кибербезопасности для каждого сотрудника. Вы также можете подумать о том, что обучение всех в вашей сети безопасному использованию займет слишком много времени и потенциально может привести к значительным финансовым затратам. В большинстве случаев это могут себе позволить только ведущие финансовые учреждения. Гораздо дешевле и проще установить автоматизированные системы безопасности, ограничивающие сетевую активность. Для многих предприятий это означает настройку сетевого брандмауэра для внесения в черный список любых служб, к которым они не хотят, чтобы сотрудники имели доступ. Кроме того, предприятия могут разрешать доступ только к сайтам, которые находятся в одобренном белом списке.

Зачем использовать брандмауэр внутри компании?

Существует ряд причин, по которым компания может заблокировать определенный веб-сайт. Например, антивирусные компании делятся черными списками веб-сайтов и IP-адресов, которые, как известно, указывают на вредоносные службы. Компании не хотят, чтобы сотрудники случайно запустили вирус или вредоносное ПО в свои системы, поэтому они будут использовать брандмауэр для предотвращения доступа к этим сайтам. В других случаях все наоборот. Брандмауэр компании может помешать большинству хакеров получить доступ к устройству в сети без надлежащих учетных данных. Просто между нами — хорошие все равно проскальзывают, потому что хакерство — это столько же социальная инженерия, сколько и техническая.

Но бизнес касается не только безопасности; многие также хотят быть уверены, что их сотрудники не используют рабочее время для управления своей личной жизнью. Брандмауэр означает, что компании могут запретить сотрудникам доступ к сайтам социальных сетей или даже использование связанных приложений в корпоративной сети. Пролистывание новостных лент — работа для медиа-аналитиков, но это отвлекает сотрудников на всех должностях, и большинство работодателей считают, что потеря внимания к работе чревата серьезными последствиями.

 Рекомендуется для вас: советы по оценке и управлению рисками кибербезопасности для малого бизнеса.

VPN и прокси

В любом случае, люди — животные привычки. Нам нравится получать то, что мы хотим, и в настоящее время не дать нам зайти на наш любимый веб-сайт — это проигранная битва. С выходом каждого нового сетевого продукта брандмауэры теряют контроль над использованием Интернета в своей сети. Фактически, опытный сотрудник может разблокировать и получить доступ к услугам, которые должны быть заблокированы, менее чем за пять минут. И им действительно не нужно специальное оборудование или знания; любой, кто полон решимости обойти ваш брандмауэр, сможет это сделать. Даже детям в школе удается получить доступ к любому сайту, который они хотят, представьте, что может сделать 40-летний помешанный на новостях!

Самый популярный способ обойти брандмауэр — использовать VPN или прокси. На самом деле, многие компании используют свои собственные VPN или прокси-сети для облегчения удаленной работы и обеспечения безопасности удаленных подключений, поэтому сотрудники используют туннельное соединение для доступа к определенным веб-сайтам. Добавление их к миллионам свободно доступных прокси-серверов делает использование брандмауэра крайне маловероятным.

И VPN, и прокси работают по одному и тому же принципу: они размещают промежуточный сервер между клиентом и хостом, поэтому становится возможным заставить хост-сервер поверить в то, что соединение исходит с другого устройства. Как и настоящий легальный прокси-сервер, этот промежуточный сервер обрабатывает все в Интернете, представляя реального пользователя.

1) ВПН

При использовании VPN данные, которыми обмениваются пользователь и VPN-сервер, защищены шифрованием. Пользователь отправляет зашифрованные запросы на сервер VPN. Сервер расшифровывает эти запросы и передает их хост-серверу. Хост видит сервер VPN так же, как и любой другой клиент, и выполняет запрос. Затем VPN-сервер шифрует результат и возвращает его пользователю. Обратите внимание, что шифрование заканчивается на VPN-сервере.

2) Прокси-сервер

Прокси-сервер использует тот же принцип, только немного по-другому. По умолчанию данные, которыми обмениваются клиентское устройство и прокси-сервер, не шифруются — любой может их перехватить и прочитать. Однако прокси-сервер, как правило, сложнее обнаружить хостам, чем виртуальные частные сети, поскольку они представляют собой настоящие устройства, а не какие-то серверные блоки в центре обработки данных. В результате прокси-серверы могут использоваться для доступа к веб-сайтам, где VPN заблокированы. Но, опять же, с безопасностью дело обстоит еще хуже.

Человек посередине

Со стороны безопасности дело обстоит еще хуже, потому что VPN и прокси-серверы популярны среди интернет-пользователей, стремящихся повысить свою конфиденциальность и безопасность в Интернете. На самом деле, есть оговорки к ним обоим. Как и в случае с большинством мер кибербезопасности, VPN или прокси-сервис хорош настолько, насколько хорош оператор услуги. Использование VPN или прокси-сервера само по себе не делает вас более безопасным; это зависит от того, что все настроено правильно. Кроме того, все ваши пользователи должны понимать, как работают сервисы и каковы их ограничения. В конце концов, пользователь должен доверять прокси-серверу или провайдеру VPN, чтобы не украсть или не утечь какую-либо ценную информацию.

Если вы сами управляете промежуточными серверами, вы можете проверить их, чтобы убедиться, что они правильно обрабатывают ваши данные. Однако, когда эти серверы находятся под контролем кого-то другого, вы можете доверять им ровно настолько, насколько вы доверяете человеку, который их контролирует. Если эти промежуточные серверы будут скомпрометированы, любые преимущества, которые вы получите от их использования, будут мгновенно потеряны.

Злоумышленник может использовать серверы, чтобы следить за всем, что происходит в вашем бизнесе. Что еще хуже, если сотрудник, который использует скомпрометированную VPN, считает, что она правильно шифрует его данные, у него может возникнуть ложное чувство безопасности, и в конечном итоге он подвергнется большему риску, чем в противном случае. Их никто не видит, верно? Тот, кто контролирует этих посредников, будет иметь доступ ко всем конфиденциальным личным и корпоративным данным, которые проходят через них. И именно здесь создание брандмауэра для офисной сети имеет неприятные последствия. Вместо защиты устройств, данных и сотрудников он заставляет их использовать сомнительное ПО от подозрительных поставщиков. Вместо технологий безопасность бизнеса становится основана на вере.

Проигрышная битва?

В свете всего этого следует извлечь урок. Большинство бизнес-лидеров согласны с тем, что некоторая степень контроля над их сетью необходима. Предоставление сотрудникам бесплатного доступа в Интернет не только позволяет им случайно наткнуться на вредоносные веб-сайты; это также означает, что злоумышленник, взломавший вашу сеть, может использовать ее для подключения к любому серверу по своему выбору. Подключив только одну из ваших ключевых систем к заминированному серверу, злоумышленник может в конечном итоге заразить всю вашу сеть. Хотя и редко, такие вещи также случаются с корпоративными сетями с брандмауэрами.

Когда вы задумываетесь о том, насколько легко решительному сотруднику обойти ваш брандмауэр и получить доступ к чему угодно в Интернете, вы должны спросить себя, стоит ли для начала пытаться его остановить. Блокирование доступа сотрудников к платформам социальных сетей кажется очевидным шагом, если вы хотите, чтобы они работали более продуктивно. Но может ли это потенциально причинить больше вреда, чем пользы в долгосрочной перспективе?

Если вы не контролируете VPN или прокси-сервер, у вас нет возможности провести его надлежащий аудит, чтобы убедиться в отсутствии утечки конфиденциальных данных. Вместо того, чтобы полагаться на один из этих методов, чтобы предотвратить доступ ваших сотрудников к чему-либо, чего они не должны, гораздо эффективнее работать с вашими сотрудниками и обучать их тому, как ответственно использовать вашу корпоративную сеть.

 Вам также может понравиться: Уязвимость VoIP и риски безопасности: все, что вам нужно знать.

Заключительные слова

В последние годы крупные гостиничные сети, авиакомпании, больницы и правительственные организации утекли огромные объемы данных. Мы подошли к переломному моменту, когда мы не можем полагаться исключительно на технологические решения для защиты наших систем. Нам необходимо иметь всесторонний взгляд на кибербезопасность и относиться к каждому сотруднику как к потенциальному слабому звену. Сейчас самое время начать проводить курсы по управлению рисками и тренинги по безопасности для каждого человека, имеющего доступ к сети вашей компании. Это имеет смысл. Блокировка новостных сайтов корпоративными брандмауэрами — не делайте этого.