Как и почему организация должна контролировать свой интернет-трафик

Пожалуй, контроль интернет-трафика является одним из важнейших аспектов обеспечения информационной безопасности любой организации. Однако правильная организация подобного рода контроля является зачастую не такой уж и простой задачей, в связи с чем необходимо подойти к ней с максимальной ответственностью.

Нужно сказать, что основным методом контроля интернет-трафика в подавляющем большинстве случаев является исконно русское «не пущать и запрещать». То есть, чем меньше трафика, тем меньше проблем. Для этого в ход идут разные «сильнодействующие средства» в виде ограничения на использование мессенджеров, скайпа, а также различных иных видов электронных коммуникаций. Но в большинстве современных офисов полностью интернет не отключить, не остановив при этом полностью работу всего офиса. Да и каждый «обрезанный» канал аукается пониженной эффективностью работы, поскольку, например, при отключенной «аське» сотрудникам приходится прибегать к более медленной электронной почте, что не может не сказаться отрицательно на скорости работы всей организации.

Контроль интернет-трафика в компании обычно имеет следующие цели, каждая из которых обычно решается с помощью соответствующего программного или программно-аппаратного модуля:

• Контроль эффективности использования рабочего времени;
• Контроль проникновения вредоносного ПО в корпоративную информационную сеть;
• Предотвращение атак на корпоративную информационную сеть;
• Контроль доступа пользователей к корпоративным информационным ресурсам;
• Предотвращение утечек конфиденциальной информации из организации;
• Создание архива информации для проведения внутренних расследований.

Как правило, для контроля эффективности использования рабочего времени используется специальное ПО, функции которого схожи с программами родительского контроля. Использование таких программ удобно в небольших организациях, где можно в буквальном смысле просмотреть действия каждого из работников, в том числе, в режиме реального времени.

Впрочем, узнать, что работник вместо исполнения собственных служебных обязанностей, скажем, посвящает рабочее время улучшению своих «скиллов» в World of Tanks или другой онлайн-игре, можно и с помощью журнала файрвола (брандмауэра), при этом параллельно решая и задачу предотвращения атак на корпоративную информационную сеть, а также предотвращения проникновения вредоносного программного обеспечения в неё же. Надо сказать, что во многих случаях это даже удобнее, потому что не требуется устанавливать дополнительный софт, который дает функциональность контроля в режиме реального времени. Эта функциональность востребована относительно небольшим числом организаций, поскольку обычно компании предпочитают, не разбираясь, просто увольнять тех сотрудников, которые попались на нецелевом использовании рабочего времени.

При выборе файрвола важным вопросом является выбор можно чисто программным и программно-аппаратным решениями. Для небольших организаций, однозначно, можно рекомендовать первый вариант, в то время как организациям с большим парком рабочих станций и значительным объемом трафика стоит присмотреться к программно-аппаратным, более производительным, решениям. Безусловно, при выборе файрвола главным критерием должна быть эффективность его работы в корпоративной сети организации, поэтому перед приобретением того или иного продукта необходимо провести его тщательное тестирование в «полевых» условиях.

С задачами предотвращения утечек конфиденциальной информации обычно хорошо справляются такие решения, как DLP-системы (от английского Data Leak Prevention – предотвращение утечек информации). Качественные DLP’шки поддерживают и создание архива трафика, который может использоваться для ретроспективного расследования различных инцидентов. Более того, они также позволяют даже более эффективно, чем файрволы, решать задачу контроля неправомочного использования работниками оплаченного работодателем времени, благодаря большему объёму информации, собираемого о сетевой активности сотрудников в различные моменты времени.

Таким образом, можно говорить о том, что для эффективного контроля трафика в компании необходимыми компонентами являются файрвол (брандмауэр) и DLP-система, которые могут факультативно дополнять различные решения для аутентификации и контроля доступа сотрудников к различным сетевым ресурсам, а также средства для обеспечения контроля активности сотрудника в режиме реального времени.

Впрочем, нужно отметить, что не всегда трафик можно легко и эффективно контролировать с помощью указанных средств, потому что для того же скайп-трафика может потребоваться приобретение дополнительных, узкоспециализированных решений, позволяющих осуществлять его фильтрацию и, при необходимости, блокировку. Аналогичное можно сказать и в отношении других p2p-решений, хотя их, в отличие от скайпа, использовать в рабочих условиях обычно не нужно, поэтому здесь уместнее говорить исключительно о возможности блокировки их использования.

В качестве примера хотелось бы рассмотреть два достаточно распространенных решения для ограничения Skype-трафика. Решение Unified Security Gateway компании Facetime является аппаратным средством фильтрации трафика, позволяющим блокировать P2P-трафик (в том числе и для Skype), а также контролировать размер канала, предоставляемый пиринговым протоколам. Решение работает с зашифрованным Skype-трафиком, ушедшим с рабочей станции, следовательно, анализ такого трафика практически невозможен. Решение Cisco IOS Flexible Packet Matching также относится к аппаратным средствам, позволяющим блокировать Skype-трафик на уровне всего офиса. Осуществляет выделение Skype-пакетов в общем трафике и может блокировать их дальнейший ход, анализ трафика, как и в случае предыдущего решения, не поддерживается.

Обеспечить контроль Skype-трафика с возможностью его анализа могут только решения, которые осуществляют его перехват ещё до шифрования, то есть, с помощью специальных агентов, устанавливаемых на рабочие станции пользователей. Такую функциональность могут иметь некоторые DLP-системы, имеющие в своем составе устанавливаемые на рабочие станции агентские решения. Поэтому если стоит задача не блокироки Skype-трафика, а контроля его содержимого, то имеет смысл выбрать DLP-систему с поддержкой подобной функциональности.

Что ж, подведем итоги тому, что  написано выше. Контролировать интернет-трафик в организации удобно с помощью нескольких различных решений, подкрепляющих и отчасти дублирующих функциональность друг друга. Обычно это файрвол и DLP-система, которые могут дополняться другими специализированными средствами.