Wi-Fi в офисе — удобство не только для сотрудников, но и «открытая дверь» для злоумышленников. Вместе с Анатолием Волковым, экспертом в области IT и информационной безопасности, основателем компании Soltecs, разобрались, как сегментация сети снижает риски и зачем она нужна малому бизнесу.
Сегодня крайне сложно было бы найти офис без Wi-Fi. Причем пароль от сети знают все: сотрудники, соседи из других фирм, иногда даже курьеры. Да, выйти в интернет на раз-два удобно, но такая открытость превращает беспроводное подключение в одну из самых уязвимых зон корпоративной инфраструктуры.
Хорошая новость: защитить бизнес можно, если грамотно изолировать ИТ-контуры друг от друга.
Что такое сегментация сети и при чем тут Wi-Fi
Сегментация сети — это разделение сети на части (подсети). Каждая подсеть состоит из устройств, сгруппированных по определенному признаку:
- проводные устройства;
- беспроводные устройства;
- устройства по отделам (бухгалтеры, менеджеры, руководители — для всех организовывают свою подсеть);
- по выполняемым задачам — серверы, рабочие станции, элементы СКУД (системы контроля и управления доступом), камеры и т.д.
На самом деле признаков, по которым можно сегментировать сеть, огромное множество. Цель процесса — изолировать одни устройства от других так, чтобы внутри конкретной подсети устройства взаимодействовали беспрепятственно, а на устройства соседней группы действовали ограничения (например, ограничение доступа бухгалтеров к системе видеонаблюдения).
В первую очередь сеть разделяют на беспроводной и проводной сегменты. Компьютеры, подключенные кабелем, относятся к доверенным проводным устройствам, требующим физического присутствия в офисе. Незаметно подключиться к информационным системам компании из офиса крайне сложно.
А вот с wi-fi устройствами иначе. Беспроводное подключение более уязвимо и ненадежно. Доступ к корпоративной сети через Wi-Fi подключение можно осуществить незаметно, достаточно знать (или «украсть») пароль от Wi-Fi сети.
Когда все устройства (от сервера, рабочего компьютера или ноутбука бухгалтера до планшета гостя) находятся в одном сетевом сегменте, то злоумышленник, получивший доступ к корпоративной сети через Wi-Fi и оказавшийся внутри корпоративного периметра, способен нанести значительный ущерб компании. Он может сканировать сетевые ресурсы, перехватывать трафик, собирать данные и пароли. При этом заметить вторжение на раннем этапе непросто: для мониторинга эфира нужны специалисты и инструменты, которых в небольших компаниях обычно нет.
Как сегментация защищает от действий злоумышленников
Логика простая: все, что подключено по Wi-Fi, не должно иметь прямого доступа к критическим ресурсам — серверам с учетными системами, базам данных, файловым хранилищам. Если беспроводному устройству нужен доступ к конкретному серверу, это настраивается точечно, с дополнительными мерами защиты.
Как я уже упомянул, сегментация создает изолированные зоны. А значит, компрометация одной из них — например, гостевого Wi-Fi — не позволит злоумышленнику проникнуть в остальные. Проводные рабочие станции останутся защищены, а атакующий получит доступ лишь к строго ограниченному сегменту с минимальными привилегиями.
Мы в своей практике регулярно сталкиваемся с проблемами уязвимости. В одной из компаний шифровальщик буквально пронесся по всей инфраструктуре и вывел из строя рабочие станции, серверы, резервные копии, так как все устройства находились в единой сети. В результате были зашифрованы не только оперативные данные, но и бэкапы — восстановить все автоматически было невозможно. Бухгалтерии пришлось вручную восстанавливать учет в течение 6 месяцев — и это верхушка айсберга. В целом бизнес понес серьезные потери времени и ресурсов.
Если бы бэкапы и критические серверы были изолированы в отдельную сеть или географически распределены, ущерб ограничился бы парой папок или одним сервером, а восстановление прошло бы быстро. Этот случай — наглядное подтверждение: отсутствие сегментации превращает локальную проблему в корпоративную катастрофу.
Поэтому сегментация сети нужна:
- всем организациям независимо от размера — от малого бизнеса до корпораций;
- компаниям, связанным с обработкой и хранением конфиденциальных данных (финансы, персональные данные, медицина и т.д.);
- офисам с гостевым Wi‑Fi, производственным сетям IoT, отделам с критичными сервисами (серверы 1С, бухгалтерия);
- компаниям с удаленными сотрудниками, которые используют личные устройства (BYOD).
Как правильно разделить сеть: простая схема для бизнеса
Когда мы говорим о сегментации, удобнее смотреть на сеть как на набор «комнат» с разными дверями и правилами входа. Для офиса обычно мы выделяем четыре типа сегментов — и каждый служит своей цели.
Сеть управления
Первый и самый критичный сегмент — сеть управления. Это буквально «командный центр» вашей ИТ-инфраструктуры, в который входят интерфейсы серверов, коммутаторов, маршрутизаторов — все, через что администраторы настраивают и контролируют оборудование. Рядовой сотрудник не должен иметь к этому сегменту доступа ни под каким предлогом.
В реальности у большинства небольших компаний все наоборот: интерфейсы управления находятся в общей сети вместе с пользовательскими устройствами. Если сотрудник подхватит вредоносное ПО на сомнительном сайте, его компьютер станет транзитным узлом, через который атакующий доберется до управления серверами и сетевым оборудованием. Последствия очевидны: контроль над инфраструктурой перейдет в чужие руки.
Сеть для сотрудников и департаментов
Бухгалтерия, финансовая служба и руководство работают с финансами, отчетностью, банковскими системами. Их устройства логично выделить в отдельный сегмент с жесткими правилами доступа. В крайнем случае можно ограничить набор разрешенных ресурсов только банковскими сервисами, учетными системами и государственными сайтами. Менеджерам, которые активно ищут поставщиков и заходят на десятки незнакомых сайтов, доступ к финансовому сегменту не нужен.
Гостевая Wi‑Fi сеть и личные устройства сотрудников (BYOD)
Гостевая сеть и устройства сотрудников (телефоны, планшеты) — источник повышенного риска: пароли часто «гуляют», устройства не управляются централизованно, радиосигнал доступен с соседних этажей. Гостевой Wi‑Fi должен быть изолирован от корпоративных ресурсов.
IoT и системы безопасности (СКУД, видеонаблюдение)
Турникеты, считыватели, камеры и прочие умные устройства часто работают на простых прошивках и не требуют доступа к корпоративным данным. Их логично поместить в отдельный сегмент с минимально необходимыми правами.
Рядовой сотрудник — будь то бухгалтер или менеджер — не должен иметь возможности просматривать камеры или обращаться к контроллерам СКУД. Доступ должен быть только у специалистов по безопасности или охраны.
Сеть для хранения бэкапов
Резервные копии тоже следует хранить в отдельных сегментах сети и по возможности географически распределять в разных ЦОДах или офисах. Такая многоуровневая сегментация (по сети и по локациям) снижает риск полного поражения данных и соответствует лучшим практикам резервного копирования.
Скрупулезное деление важно потому, что оно локализует инциденты — взлом одного сегмента не дает прямого доступа ко всем остальным. Кроме того, это упрощает мониторинг и ускоряет реакцию, поскольку в меньшей по размеру зоне легче заметить аномалии.
В нашей практике был показательный случай, когда сегментация спасла компанию от масштабного шифрования.
Вечером в рабочий день мы обнаружили попытку шифрования данных клиента — атака началась примерно в 19:00 по Москве. Пострадала информация только одного пользователя: бухгалтер запустил шифровальщика. У него были зашифрованы рабочий стол и одна рабочая папка, к которой был доступ.
Благодаря грамотной настройке сетевой сегментации и прав доступа ни серверы, ни корпоративная почта, ни резервные копии не пострадали. Мы восстановили содержимое профиля пользователя и зашифрованной папки за несколько часов. К утру следующего дня сотрудники работали в обычном режиме, большинство даже не поняли, что у компании были какие-то проблемы.
Этот кейс наглядно показывает главную ценность сегментации — она сужает вектор атаки и превращает потенциальную катастрофу в локальную проблему, которую можно быстро устранить.
Насколько сложен процесс сегментации?
Сама по себе сегментация сети не сложна, если ею занимается специалист с опытом. Это вопрос компетенций.
Профессионал быстрее сгруппирует устройства, он не допустит грубых ошибок. Скажем, он не станет объединять серверы и систему резервного копирования в один сегмент, потому что знает, что при атаке на одно пострадает и второе. А неопытный специалист легко допустит что-то подобное, тем самым подвергнув компанию рискам.
Есть важный момент — сетевое оборудование должно подходить под нужные функции. Дешевые «китайские железки» могут не поддерживать сегментацию, и тогда их придется заменить на более функциональные.
Подведем итог
Собственник должен понимать, что сегментация — это не «лишняя бюрократия», а инвестиция в снижение вреда от потенциальных атак и повышение управляемости сети. Это недорогая и быстро окупаемая мера снижения рисков. При этом даже простая разбивка на «гостей», «сотрудников», «бухгалтерию» и «серверы» значительно уменьшит вероятность массовой порчи данных или простоя бизнеса.
Не стоит экономить на этом сегодня и ждать инцидента — потом придется платить вдвойне. Правильный путь — слушать экспертов, закладывать бюджет и выбирать подходящий темп внедрения с учетом операционной непрерывности.
Комментарии (0)