Гостиничный комплекс, особенно, большого размера, требует автоматизации технологических процессов в значительном объеме. Одновременно из-за большой посещаемости, комплекс является зоной повышенного риска. Десятки входящих и исходящих линий, сотни камер видеонаблюдения, проводные и беспроводные подключения к интернету, набор работающих программ для внутреннего использования и внешних сервисов увеличивают риски взлома внутренней сети. Это может привести к краже либо подмене личных данных клиентов, порче оборудования, нарушению неприкосновенности людей (при захвате управления камерами с внешнего хоста). Чтобы избежать подобных инцидентов, необходимо обеспечить защиту внутренних сетей по всему периметру.
Анализ существующей системы защиты периметра
Специалисты нашей компании проанализировали существующий защитный периметр гостиничного комплекса на территории заказчика и пришли к следующим выводам:
- Защита организована на устаревших компонентах и не поддерживает современные технологии;
- Некоторые входящие и исходящие каналы связи не включены в общую систему защиты, происходящие в них процессы не подвергаются анализу и мониторингу;
- Линии связи между серверами и СХД проложены неоптимальным образом, вследствие чего происходит неоправданно долгие задержки в передаче данных и простои на других участках.
- Система анализа данные в сетевом экране несовершенна и допускает проникновение неавторизированных приложений в защищаемые сеть.
Вывод специалистов был однозначным – необходима модернизация и частичная замена серверного оборудования для полной защиты периметра гостиничного комплекса. Существующие средства защиты информации требовали серьезной модернизации, именно поэтому инженерами нашей компании было предложено начать ее со средств обеспечения периметровой безопасности, а именно – межсетевого экрана . МСЭ позволяет достаточно просто управлять правами доступа пользователей и их групп, включая наложение политик безопасности. В его составе имеется интеллектуальный антивирус и аналитическая система IPS, распознающая самые изощренные попытки вторжения во внутренние сети и мгновенно их купирующая. Система поддерживается в актуальном состоянии благодаря ежедневным обновлениям сигнатур вирусов и методов проникновения. Для противодействия угрозам нулевого дня в состав межсетевого экрана был включен так называемый sandboxing, или «песочница».
Согласование, подбор оборудования и реализация проекта
В процессе создания и реализации проекта производился подбор сетевого оборудования в соответствии с требованиями заказчика. На каждом этапе проекта проводилось согласование принятых решений с заказчиком как по стоимости оборудования, так и по необходимым пуско-наладочным работам. Итоговая версия проекта была утверждена руководством компании и представителем заказчика.
В результате окончательного согласования и в соответствии с представленным техническим заданием, внедренное решение обеспечивает возможность работы на уровне приложений, их контроля. Были разработаны политики в соответствии с корпоративными стандартами заказчика, результатом чего стал полный контроль используемых приложений и невозможность неавторизированного использованиям сотрудниками приложений, не входящих в корпоративный стандарт заказчика. Это позволило практически полностью исключить использование неавторизованных приложений, в т.ч. и потенциально вредоносных.
В аппаратно-программный комплекс встроена защита от известных угроз на уровне межсетевого экрана, данные о которых постоянно обновляются с доверенного источника. Это позволяет автоматически определять и блокировать попытки несанкционированного доступа к сети неустановленным пользователям и приложениям. Вся проверка входящего и исходящего трафика на предмет неизвестных угроз проводится в облачной песочнице (изолированном участке памяти и невозможностью передачи управления в основную память), что гарантирует надежную защиту от направленных атак (APT) на систему.
Сотрудники IT-отдела заказчика прошли соответствующее обучение по обслуживанию установленного комплекса, способны эксплуатировать его без вмешательства нашего инженерного персонала.