Symantec: атак на малый бизнес становится все больше
Не является секретом, что уровень киберпреступности постоянно повышается, и предприятия малого и среднего бизнеса (Small and Middle Business, SMB) все чаще становятся целью хакеров. Последние данные из отчета «Symantec’s 2016 Internet Security Threat Report» показывают, что сектор SMB становится привлекательной целью также для фишинга.
В 2015 г. фишинговые атаки на предприятия SMB заняли 43% времени от атак всех типов. Это на 9% больше, чем в 2014 г. и очень контрастно по сравнению с 18% нападений на SMB, которые были зафиксированы в 2011 г.
Отчет Symantec показывает, что пока приблизительно 1 из 40 (2,5%) предприятий SMB подвергается риску стать жертвой «cybercrime». На первый взгляд это кажется незначительным по сравнению со статистикой для крупных предприятий, где соотношение составляет 1:2, т.е., в этом сегменте атакам подвергается каждое второе предприятие.
Важно другое. Отчет отмечает, что хакеры нападают на свои жертвы без особого разбора. Формулировка достаточна проста, и, вместе с тем, проясняет смысл нападений.
Это не вопрос того, на кого именно они нацеливаются. Это вопрос того, что все они нацелены на ваши деньги. Фишинговые атаки производятся на конкретных сотрудников, в основном ответственных за финансы малого бизнеса.
Злонамеренные (malicious) электронные письма, посылаемые таким сотрудникам, могут «угнать» финансовую информацию всей компании и открыть доступ к корпоративным фондам и личной информации.
Symantec отмечает, что участились также нападения типа «ransomware». Они нацелены не только на сотрудников, но и на любые устройства, находящиеся во взламываемой сети. (Смысл использования ransomware ? в блокировании или нарушении работы устройства. Оно будет снова доступно пользователю только после некоторой оплаты нападавшему). В 2015 г. Symantec зафиксировала достаточно много атак на IoT, смартфоны, и даже на smart watches и smart television.
Symantec также показывает 55%-ное увеличение с 2014 г. до 2015 г. количества целевых фишинговых атак, которые направлены на конкретных сотрудников, независимо от размера компании. Для справки следует отметить, что Symantec классифицирует предприятия малого бизнеса как имеющие до 250 сотрудников.
Будьте готовы к защите
Что владельцы малого бизнеса должны сделать с изложенной выше информацией? Простой совет ? готовиться к отражению атак. Совершенно ясно, что хакеры продолжат увеличивать фишинговое давление на предприятия SMB.
Поскольку такие атаки нацелены главным образом на определенных сотрудников, разумным представлялось бы осуществление надлежащей учебной и информационной программы внутри компании по схемам фишинга.
Однако для компании сектора SMB часто затруднительно организовать такое обучение, а сотрудники часто поверхностно относятся к знаниям, которые они должны получить. Кроме того, они в первую очередь должны заниматься своими прямыми обязанностями.
Очевидно также, что лучше ограничивать количество смартфонов сотрудников и устройств IoT, ? однако для SMB соблюдение такой политики также связано с определенными трудностями. В итоге предприятия SMB предпочитают, чтобы защита осуществлялась автоматически и с возможно высоким качеством. Один из вариантов решения проблемы ? использование специализированных маршрутизаторов (роутеров).
Роутеры Cisco RV320 и Cisco RV325
Роутеры Сisco для предприятий малого бизнеса (Cisco Small Business Routers, SBR) моделей RV320 и RV325 с фильтрацией Web-трафика добавляют слой надежной защиты, предотвращая в том числе доступ к потенциально опасным ресурсам в сети.
Для небольших компаний с ограниченными бюджетами, где недостаточно ресурсов на содержание штатных экспертов по безопасности, хорошо подходят специализированные маршрутизаторы для малого бизнеса, ? такие, как Cisco SBR.
Cisco SBR оснащены средствами Web-фильтрации, которые закрывают доступ для хакерских атак. Имеется почти бесконечное число веб-сайтов, которые сотрудники малых компаний могут посещать без ведома руководства. При этом едва ли не любое соединение может быть средством получения доступа к внутренним системам и данным малого предприятия.
Применяя не так давно появившиеся специализированные маршрутизаторы Cisco, можно установить соответствующую Web-политику для своей компании в течение нескольких минут, ? и быть вполне уверенными, что она выполняется без дополнительных дорогих мер по безопасности и привлечения дополнительного IT-персонала.
Почему предприятия SMB должны использовать Web-фильтрацию? Очевидный ответ ? прежде всего потому, что их сотрудникам, как правило, открыт доступ онлайн, и без фильтрации они могут обратиться к любому сайту.
В этом отношении маршрутизаторы Cisco моделей RV320 и RV325 являются одними из лучших для предприятий SMB, позволяя поддерживать хорошее «здоровье» сети. Они держат пользователей вдали от опасных веб-сайтов с их вредоносными приложениями и сомнительным контентом, не снижая при этом производительности работы.
Всего несколько настроек в Web Filtering позволяют категоризировать сайты, установить соответствующие уровни защиты, указать репутацию определенных сайтов и составить расписание работы сервиса безопасности (см. скриншот в разделе «Программное обеспечение).
Опрос Kaspersky Lab, результаты которого были обнародованы в конце 2015 г., показал, что предприятия SMB тратят в среднем $38 тыс., чтобы «прийти в себя» после единственного случая нарушения данных, ? и эта сумма не включает косвенные издержки и ухудшение репутации компании. Тот же опрос также показал, что наибольшее количество нападений было связано с malware и фишингом.
Используя Web-фильтр, малый бизнес может существенно сократить нападения этих типов и повреждения от них. Важно отметить, что Web-фильтрация отличается от антивирусного ПО, и использование одного подхода не избавляет от необходимости другого.
Модели Cisco RV320 и RV325 выделяются среди маршрутизаторов семейства Cisco RVxxx как наиболее высокоуровневые и имеющие наиболее высокую пропускную способность IPsec. Основное различие между этими моделями ? RV320 имеет четыре порта LAN по сравнению с четырнадцатью портами LAN у RV325.
Cisco RV320 Dual Gigabit WAN VPN Router
Cisco RV320 определяется как «PPTP / IPsec /SSL VPN router with Gigabit ports and USB WAN failover». К его основным преимуществам относятся наличие GUI Администратора, автоматическая балансировка нагрузки WAN, наличие простого в использовании брандмауэра (firewall), а также поддержка модемов 3G/4G USB.
RV320 ? настольный маршрутизатор, имеющий размеры 8,1 x 1,7 х 5,2 дюймов (ширина, высота и глубина соответственно). Устройство имеет металлический корпус и внешнее электропитание. Не создает шума, поскольку использует пассивное охлаждение. Контрольные индикаторы расположены на передней панели, порты RJ45 ? на задней.
Внешний вид передней панели и сравнительные размеры Cisco RV320
Устройство имеет два порта 10/100/1000 WAN и четыре 10/100/1000 LAN. Один из WAN портов может быть сконфигурирован или как WAN, или как DMZ.
Имеется также два порта USB 2.0, один передней панели, другой ? на задней. Они предназначены для подключения 3G/4G модемов и/или загрузки ПО с флеш-диска. Нужно иметь в виду, что маршрутизатор не поддерживает устройства хранения данных USB и принтеры.
Внешний вид задней панели Cisco RV320
Корпус RV320 несколько выше, чем у других устройств семейства RVxxx, что обеспечивает хорошую циркуляцию воздуха. Согласно отзывам пользователей, при непрерывной работе RV320 не более, чем «немного теплый».
Вид на материнскую плату Cisco RV320
Под достаточно большим радиатором находится двухъядерный центральный процессор Cavium CN5020, работающий на частоте 300 МГц. «На борту» у RV320 находится также 256 MB DDR2 RAM и 64 MB флеш-памяти.
Технические характеристики Cisco RV320
Router
— (4) 10/100/1000 LAN, (1) 10/100/1000 WAN, (1) 10/100/1000 DMZ/WAN
— (2) USB 2.0 ports
— 3G/4G WWAN Support
— Пропускная способность 900 Mbps NAT
— Dual WAN failover and load balancing
— Protocol based load balancing
— RIPv1/v2, RIPng
— 802.1Q VLAN — Support for 7 VLAN IDs
— IPv6
— Средства управления QoS
SPI Firewall
— DoS, ping of death, SYN flood, land attack, IP spoofing protection
— 50 Schedule-based access rules
— 30 Port Forwarding rules
— 30 Port Triggering rules
— Static URL or keyword blocking (content filtering)
— DMZ port and DMZ host functionality
VPN
— IPsec — DES, 3DES, AES Encryption; MD5, SHA1 Authentication
— 50 IPsec Site to Site tunnels
— 10 SSL tunnels
— 10 PPTP tunnels
— 100 Mbps IPsec throughput
— 20 Mbps SSL throughput
Прочее
— SNMP
— LLDP
— 802.1X Authentication
Cisco RV325
Cisco RV325 классифицируется как «Dual Gigabit WAN VPN Router». Это ? старшая модель в линейке маршрутизаторов Cisco RV VPN для малого бизнеса. Если выделять его основные черты, то это ? высокая скорость работы, поддержка VPN и VLAN, а также простая настройка параметров, характерных для роутеров высокого уровня.
Устройство поддерживает до 50 туннелей IPSec, в соединениях site-to-site или client-to-site, с заявленной пропускной способностью IPSec около 100 Mbps. PPTP и SSL VPN серверы поддерживают до 10 одновременно работающих туннелей client-to-site.
В комплект поставки входит кабель Ethernet, внешний источник питания, руководство по быстрому старту и CD с полной документацией. Также прилагаются направляющие для монтажа в стандартной 19-дюймовой стойке.
Габаритные размеры устройства ? 9,5 х 2 х 7 дюймов (ширина, высота и глубина соответственно. Типичная окраска корпуса ? «gray metal».
На задней панели Cisco RV325 находятся только разъем питания и выключатель. На нижней стороне корпуса типично установлены нескользкие ножки для размещения на столе или полке, наряду с отверстиями для настенного монтажа.
На передней панели размещены индикаторы состояния, 14 стандартных LAN портов, два WAN порта и кнопка перезагрузки. Также имеется один порт USB на передней панели и еще один ? на правой боковой стороне. Они оба могут использоваться для 3G Internet, или для обслуживания.
Отзывы пользователей
В целом ресурс www.networkworld.com характеризует этот роутер как «солидное изделие» с наиболее распространенными возможностями маршрутизатора VPN и соответствующей функциональностью. Интересно также привести некоторые отзывы пользователей по RV325 с сайта www.newegg.com. Большинство из них категорически положительны:
— Имеет больше возможностей, чем можно было бы ожидать от маршрутизатора в этом ценовом диапазоне.
— Отлично подходит для малого офиса или домашнего использования с различными устройствами ? несколькими десктопами или ноутбуками, другими сетевыми устройствами, принтерами, TV и др.
— Устойчивый, удобный и идеально подходящий для малого бизнеса.
— Я не «сетевой парень», но этот маршрутизатор достаточно легок для пользователей со средним знанием IT.
Тем не менее, на что следует обратить внимание:
— Если у вас есть понимание принципов организации сети и установки маршрутизатора, то это ? хороший выбор.
— В то время, как этот маршрутизатор очень легок к установке, он является устройством профессионального уровня и требует некоторого знания организации сети и того, как использовать его особенности в своих интересах.
Программное обеспечение
Подробное описание ПО роутеров Cisco RV320 и Cisco RV325 выходит за рамки данного обзора. Отметим только некоторые его характеристики.
После входа в Web GUI пользователь попадает на страницу Getting Started с линками к Setup Wizard и другим общим страницам. Setup Wizard позволяет конфигурировать WAN порты и дает доступ к настройке брандмаура. ПО поддерживает Cisco Easy VPN, которое упрощает конфигурирование удаленных пользователей VPN.
Для того, чтобы можно было получить общее представление о GUI этих устройств, приведем скриншот экрана. В целом GUI роутеров Cisco RV320/325 хорошо развит, подробен и вместе с тем достаточно понятен для тех, кто имеет представление о работе с сетевыми устройствами.
Конфигурирование DHCP
Имеется также эмулятор Web-интерфейса Cisco RV320. Ниже приведен его скриншот из раздела «Web Filtering».
Настройка уровня фильтрации по категориям контента
Как заключение данного обзора приведем еще одно мнение пользователя с сайта www.newegg.com:
— Я работал с оборудованием Cisco долгое время, и должен сказать, что это ? один из лучших продуктов. Превосходная скорость, легкое конфигурирование. Если вы работаете в малом бизнесе, я рекомендую его.
Комментарии (14)
ibKpoxa
18.10.2016 19:30Вот у меня офис на 150 человек, 2 канала по 100Мбит, bgp и сеть /24, я же не смогу использовать это устройство?
artiusha
20.10.2016 09:06Да, для сети такого размера, железка будет слабовата. Я бы рекомендовал использовать защищенные роутеры RV320/RV325 для сети не более 25-50 пользователей (при этом в первую очередь следует помнить про максимальное кол-по поддерживаемых IPsec VPN tunnels – 25, и общую пропускную способность шифрованного трафика — 100 Mbps, т.к. в некоторых случаях, этого может быть недостаточно).
Что качается сформированной выше задачи, рекомендую посмотреть в сторону новой Cisco ASA with FirePOWER Services – например, бандл ASA5512-FPWR-BUN (GPL $4295), подробнее: http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html позволит комплексно подойти к вопросу безопасности.
Да, это совершенно другой бюджет – но и совершенно другие возможности. Начальная модель линейки — ASA5506-K9 (GPL $995.00).
dmitry_ch
25.10.2016 19:50Вы, наверное, и так уже имеете систему более продвинутую, хотя и менее интегрированную. У вас BGP на чем крутится, к примеру?
ibKpoxa
28.10.2016 11:34У меня стоит 8 летний сервер интел 1530 с квадом на борту, BGP на зебре.
dmitry_ch
28.10.2016 12:01Ну вот вы себе и ответили на вопрос: такую машину ни одна циска из более-менее бюджетных не переплюнет.
Причем, что характерно, artiusha даже не на ваш вопрос отвечает: ASA, конечно, не умеют BGP, так что все его предложение, основанное на фразе «2 канала по 100 Мбит» и набиванию цены неподходящему вам решению словами «комплексно подойти к вопросу безопасности» — увы, не более чем обычный подход продавца, который хвалит свой товар. Обычный, но не очень грамотный технически.
Cisco, не спорю, хорошая железка. Однако, в вашем случае, сервер явно не меньше может сделать. Если думаете о разнесении функций, то экономически куда более интересно отдельно вынести бордер (хоть на PC, хоть на отдельную железку). Скажем, недорого и сердито, если у вас от обоих операторов FV, будет поставить Mikrotik CCR1009-8G-1S-1S+ (два блока питания, 2 Гб ОЗУ, $495 по официальному прайсу, найдете на 5-10% дешевле) — причем, для надежности никто не мешает их поставить два, это же BGP (только с операторами вашими договоритесь, чтобы на каждую железку по сессии подняли). Если FullView нет нужды гонять (а это и правда так), то любой даже недорогой Микротик пойдет, главное, чтобы просто мегабиты ваши прокачивал. Тем более появится RB3011UiAS-RM, у которого ценник $179, памяти 1 Гб, и которого для BGP за глаза, а две шутки для надежности будут недорогим вариантом.
Далее, имея бордер, вам уже будет проще и разумнее внутри сети строить ядро с функциями безопасности. Я не знаю, что вы хотите видеть в этом смысле, но собрать ядро на двух дублирующих друг друга железках будет вполне можно (VRRP скроет их от клиентов), останется только вопрос синхронизации конфигов. Фильтрация сайтов и прочее добро, уж поверьте, вы дешевле и лучше соорудите из сторонних, не цискиных сервисов.
Циска только хороша надежностью железок (про старые это точно так, а новые вы будете на себе тестировать), и некоторыми функциями «вроде бы из коробки». По факту из коробки оно требует еще конфигурации, и работает не всегда и не везде. А на рекламные слова, вроде что в базе миллиарды объектов, вестись не надо, потому что ни продавец, ни сама циска не объяснит, как в память железки столько добра влезло.
artiusha
20.10.2016 09:17На текущий момент, доступны к заказу 4 модели защищенных роутеров Cisco SMB с поддержкой WEB Filtering: RV130-WB-K9-G5 (GPL $214.00) / RV130W-WB-E-K9-G5 (GPL $261.00) / RV320-WB-K9-G5 (GPL $379.00) / RV325-WB-K9-G5 (GPL $557.00). Подробнее сравнить их возможности можно тут: http://www.cisco.com/c/en/us/products/routers/small-business-rv-series-routers/models-comparison.html
teecat
Правильно ли я понял, что ничего, кроме фильтрации по черно-белым спискам сайтов, разбитых по категориям там нет?
И вопросы по спискам:
— сколько примерно сейчас ресурсов в базе?
— каков процент из них для русскоязычной аудитории?
— сколько ресурсов примерно добавляется в неделю или месяц?
artiusha
Веб-фильтрация осуществляется по IP адресам, в которые преобразуются запрашиваемые пользователем URL адреса (поддерживаются протоколы HTTP и HTTPS).
Работает по нескольким критериям:
1. На основании настроек категорийного фильтра базы данных, которая (периодически) загружается в роутер из облака
2. На основании репутационной модели предварительной оценки ресурсов.
3. На основании настроенных вручную White List / Black List / Exculsion List
Подробнее, с порядком настройки и перечнем доступных категорий, можно ознакомиться на виртуальном веб-интерфейсе устройства (раздел WEB FILTERING): https://www.cisco.com/assets/sol/sb/RV320_Emulators/RV320_Emulator-SB_v1-2-1-14/default.htm
Рекомендации по настроке тут: http://sbkb.cisco.com/CiscoSB/ukp.aspx?vw=1&docid=b9a4b504bf364f3e811a5fd6342b2b4c_Content_Filter_Configuration_on_RV320_Router.xml&pid=3&respid=0&snid=5&dispid=0&cpage=search
По алгоритму работы, если выбрано несколко критериев – в админ гайде: http://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv320/administration/guide/en/rv32x_ag_en.pdf (Chapter 13: Web Filtering page 120 )
Что касается базы адресов, в официальном документе сказано (на момент его написания, Jun 24, 2016):
Web Filtering Content filtering covering 27+ billion URLs
http://www.cisco.com/c/en/us/products/collateral/routers/rv325-dual-gigabit-wan-vpn-router/datasheet-c78-729726.html
Что касается размера базы, могу поделиться скрином из закрытой презентации вендора (датирован январем 2016г) – более свежей/актуальной информации, на данный момент, у меня нет:
http://i.piccy.info/i9/231695ace1621f568edadc0d61af84d7/1476800676/134088/1073876/CiscoSB.png
teecat
Спасибо!
dmitry_ch
А что значит фильтрация по IP-адресам, если, скажем, «вредный» сайт прячется за Cloudflare? Это типа «эффективный фильтр имени Роскомнадзора», только со своими, даже в законе не прописанными, правилами добавления и удаления из списков? Честно — детский сад, если «только по IP-адресам».
И 27+ миллиарда записей в черном списке (да, мы же говорим об IP-адресах, и, наверное, про IPv4?)… Давайте подумаем: у нас в IPv4 имеется 2^32 адресов, это около 4 миллиардов юзабельных адресов ( https://ru.wikipedia.org/wiki/%D0%98%D1%81%D1%87%D0%B5%D1%80%D0%BF%D0%B0%D0%BD%D0%B8%D0%B5_IPv4-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2 ), так что же там такое число записей в БД девайса делают. Где их хранят — вопрос отдельный.
И, да, как фильтрация работает в век «https на каждом углу», я тоже сомневаюсь.
В общем, либо я в порядке цифр ошибаюсь, или кто-то рекламирует «не то».
artiusha
Cloudflare для них не проблема, т.к. согласно правил работы сервиса, пользователь подключается к системе через прописывание DNS-серверов CloudFlare в домене (для каждого пользователя выделяется пара DNS-серверов вида XXX.ns.cloudflare.com, подробнее http://wikireality.ru/wiki/CloudFlare. Т.е., достаточно внести в «черный» список домен cloudflare.com, и собственно все.
Да, ручной донастройки никто не отменял.
На все остальные вопросы, ответы есть в первом посте – я специально ответил максимально подробно, дублирую с пояснениями:
«Что касается базы адресов, в официальном документе сказано (на момент его написания, Jun 24, 2016):
Web Filtering Content filtering covering 27+ billion URLs
http://www.cisco.com/c/en/us/products/collateral/routers/rv325-dual-gigabit-wan-vpn-router/datasheet-c78-729726.html »
Т.е., речь идет об URL адресах, коих даже на одном сайте может быть великое множество.
Что касается «уникальных IPv4 адресов», то состоянием на начало текущего года, их было «более 460 млн», ссылку на скрин я такжже предоставил ранее.
Да, поддерживаются протоколы HTTP и HTTPS – последний включается в настройках дополнительно, в этом можно убедиться на эмуляторе веб-интерфейса.
И да, я оговорился в первом посте, наверно из-за этого и возникло некоторое недопонимание: в конечном итоге, для пользователя фильтрация осуществляется именно по URL адресам. Прошу меня извинить.
dmitry_ch
Ежа и ужа скрестили, получилось нечто.
Я до сих пор не забуду, как инспектирование протоколов на IOS одно время рвало совершенно легитимные ESTMP сессии на основании того, что это — не SMTP, а нечто более широкое.
artiusha
Современный сервис веб-фильтрации пришел на замену подпискам Trend Micro, которые были доступны в качестве дополнительно покупаемой подписки, для актуальной на тот момент линейки защищенных роутеров RV120W/RV220W и др., и использовался в шлюзах безопасности SA5xx серии. Несмотря на сравнительно высокую стоимость (по сравнению со стоимостью основной железки), на подписки был спрос – и когда он стал недоступен (после достаточно длительной процедуры EOS), мне пришлось выслушать много негодования со стороны конечных заказчиков.
Сейчас сервис веб-фильтрации является интегрированным и в «пожизненном» исполнении, но продолжают выпускаться аналогичные модели, в которых он не используется: (RV320-K9-G5 и RV320-WB-K9-G5); (RV325-K9-G5 и RV325-WB-K9-G5) и др., поэтому всегда можно выбрать – нужен он или нет.
Также обращаю внимание, что Cisco IOS не используется в обсуждаемых линейках оборудования, а для решения возникающих технических вопросов всегда можно обратиться на бесплатный форум технической поддержки: https://supportforums.cisco.com/community/5541/small-business-support-community