Top 5 ИБ технологий, которые будут в вашей сети

Денис Батранков, лидер отрасли компании Palo Alto Networks, рассказал журналу Information Security о «Top 5 ИБ технологий, которые будут в вашей сети».

1. Контроль известных приложений и файлов во всех сегментах сети и блокировка всего неизвестного – технология APP-ID и ZeroTrust.

Понятие периметра изменилось – теперь каждая рабочая станция и сервер это часть периметра защиты. Сегментирование сети и контроль антивирусами и системами предотвращения атак всего известного контента одна из новых задач по снижению рисков и соответствию требованиям регуляторов.

При этом:

1. Треть трафика сети зашифрована SSL, а там идут и вирусы и секретные документы: HTTPS, SMTPS, FTPS, SFTP, dropbox, facebook, gmail.

2. Часть трафика зашифрована VPN, SSH, TOR, TeamViewer, skype, hamachi, freenet, TCP-over-DNS.

3. 9 из 10 приложений в ЦОД являются самимы атакуемыми: SMB, SQL, RPC, бизнес приложения.

4. Сотрудники используют для обмена файлами ftp, bittorent, yandex.disk, MSN, ICQ,  googlecloud, megaupload и другие приложения.

Можете ли Вы говорить, что контролируете свою сеть? Хакеры ответили отрицательно: согласно отчету GoupIB, из 50 российских банков ими украдено более миллиарда рублей за 2013-2014 год. Это можно было предотвратить.

Ваша сеть обслуживает порядка 200-300 различных приложений. Любое из этих приложений может быть использовано хакерами для пошагового проникновения в сеть. По одному открытому порту 53 или 80 работает несколько десятков различных приложений. Например, если вы открыли  порт 53, то через него ходит bittorrent, MSN, TCP-over-DNS и другие  приложения. Понятие порта в правилах межсетевых экранов утратило начальный смысл – нужно уметь определять приложение по контенту вне зависимости от порта. Часть приложений в сети работает по нестандартным и динамическим портам. Вам надо сначала увидеть все эти приложения и затем проконтролировать их, блокируя все несанкционированные и неизвестные приложения по любым портам. Например, если кто-то выполняет SSHсоединение по разрешенному порту 123 для соединения NTP, то это должно блокироваться и расследоваться.

Сегодня проникновение в сеть это не одна атака, а набор разных видов атак. Вы будете останавливать их, контролируя сеть во всех своих сегментах, включая виртуальные системы. Вы будете расшифровывать SSL и SSHдля восстановления контроля над 30% трафика. Вы включите очистку приложений антивирусом и IPS во всех сегментах сети. Вы продолжите использовать URL фильтрацию, репутационные базы данных и геолокацию IP адресов во всех приложениях.

2. Аппаратная реализация защиты от атак, вирусов, spyware, веб-фильтрации, DLP, бот-сетей – технология CONTENT-ID.

Основной проблемой перехода к полному анализу контента внутри сети различными технологиями является недостаточная производительность программных средств анализа при включении одновременно всех функций: антивируса, систем предотвращения атак, веб-фильтрации, анализа приложений, поведенческих алгоритмов. Ваша задача,  покупая одногигабитное устройство, быть уверенным, что оно останется способным передавать гигабит в секунду, выполняя все заявленные функции безопасности и маршрутизации. Компания Palo Alto Networks использует аппаратное распараллеливание алгоритмов анализа приложений, атак и вирусов, реализовала их на специализированных процессорах Cavium, и чипах FPGA для проверки сигнатур IPS, антивируса и распознавания приложений за один проход в потоковом режиме. Например, в старшей модели PA-7050 работает более 400 процессоров для обеспечения анализа приложений и защиты от угроз на скорости до 120Гбит.

3. Использование в правилах имени пользователя и управление мобильными устройствами – технология USER-ID, GlobalProtect

Неважно как сотрудник или VIPсегодня попал в сеть компании: с мобильного телефона, планшета или ноутбука, из аэропорта, офиса или дома – он, его приложения и трафик будут под полной защитой и всего одним правилом. Интеграция с ActiveDirectory, RADIUS, Exchange и другими системами позволяет шлюзам Palo Alto Network sпонимать какой сотрудник находится по данному IPадресу и одновременно проверять его приложения антивирусом, IPS, URL фильтром. Использование мобильных клиентов Global Protect на телефонах и ноутбуках установит VPNсоединение с сетью компании, затем шлюз проконтролирует что это за устройство и какие приложения установлены на его телефоне и рабочем компьютере, что было на его компьютере или телефоне до подключения к сети: был ли вовремя обновлен антивирус или запущено нужное корпоративное приложение из AppleStore или GooglePlay. Устройство GP-100 позволит проконтролировать работу политик компании на мобильных устройствах.

4. Динамическая защита от неизвестного вредоносного кода – защита от направленных атак: WildFire.

Вредоносный код сейчас существует в сетях постоянно. Нужно проверять проходящие между сегментами файлы. Если использовать сигнатурные технологии, но они запаздывают с обнаружением и блокированием: сигнатуры приходят в лучшем случае лишь через несколько часов после выхода нового вида вредоносного кода. Есть возможность принимать решение вредоносный файл или нет за минуты! Поместив проходящий через межсетевой экран файл в тестовую виртуальную машину (песочницу), вы можете узнать к каким последствиям исследуемый файл реально приводит при запуске (если это EXEфайл) или при просмотре (если это DOC, XLS, PDF). Такие песочницы Palo Alto Networks называются WildFire- можно выслать файл в компанию или направить в собственное устройство с песочницами - модель WF-500. По результатам вредоносного поведения вы получаете не только сигнатуру для блокировки, но и подробный отчет что вредоносного происходит при запуске. Облачная архитектура позволяет получать сигнатуры вредоносного кода, которые находят другие заказчики Palo Alto Networks.

5. Предотвращение неизвестных эксплойтов на рабочих станциях и серверах - TRAPS.