DDoS

В случае с Internet-сервисами мы изолировали их в экранированную демилитаризованную зону, предотвратив возможность доступа к данным со скомпрометированного сервера. Возможно использование отдельного учетного записи для запуска клиентских приложений. Приложение, запущенное с другой учетной записью, может иметь сниженный уровень доступа и будет изолирован от данных, даже как что он будет работать на том же компьютере одновременно с другими приложениями данного пользователя (локальная изоляция). К сожалению, разграничение прав доступа в рамках одной машины это нетривиально, и очень велика вероятность ошибки, что позволит изолированному клиентскому приложению получить повышенные права доступа. Поэтому наиболее надежным остается вынос потенциально опасных клиентских приложений в отдельную экранированную сеть. Приложения могут быть вынесены на терминальный сервер. Существуют различные технологии (например, Application Publishing в Citrix Metaframe), которые делают этот процесс быстрым и, главное, практически незаметным для пользователя, так как пользователь продолжает взаимодействовать с приложением так, будто он был запущен локально. Таким образом мы получаем 3 корпорационные зоны: демилитаризованную серверную зону, зону изолированных клиентских приложений и внутришний корпоративную сеть. Исключаем возможность попадания каких-либо данных по Internet во внутреннюю сеть кроме случаев, когда эти данные явно скопированы пользователем зоны изолированных приложений. Запрет копирования потенциально опасных данных (Файлов, выполняемых например, макро-документы) в этом случае реализуется очень просто. Атаки на клиентские приложения не являются новыми, но наблюдается тенденция повышения уровня подобных атак. Если раньше самой распространенной атакой было внедрения трояна с использованием методов социальной инженерии и с целью получения учетных записей Internet, то сейчас довольно часто можно наблюдать профессионально проведенные атаки направлены именно на взлом сети. Рекомендуемые методы рассчитаны на стандартное ПО и стандартное сетевая среда, поэтому должны уточняться в каждом конкретном случае специалистом по информационной безопасности. Эти методы защиты, также хорошо себя показали при виртуализации приложений.