В рубрику "Межсетевые экраны" | К списку рубрик | К списку авторов | К списку публикаций
Понятие периметра изменилось: теперь каждая рабочая станция и сервер – это часть периметра защиты.
При этом:
Можете ли вы говорить, что контролируете свою сеть? Хакеры ответили отрицательно: согласно отчету Group IB, из 50 российских банков ими украдено более 1 млрд руб. за 2013–2014 год. Это можно было предотвратить.
Ваша сеть обслуживает порядка 200–300 различных приложений. Любое из этих приложений может быть использовано хакерами для пошагового проникновения в сеть. По одному открытому порту 53 или 80 работает несколько десятков различных приложений. Например, если вы открыли порт 53, то через него ходит Bittorrent, MSN, TCP-over-DNS и другие приложения. Понятие порта в правилах межсетевых экранов утратило начальный смысл – нужно уметь определять приложение по контенту вне зависимости от порта. Часть приложений в сети работает по нестандартным и динамическим портам. Вам надо сначала увидеть все эти приложения и затем проконтролировать их, блокируя все несанкционированные и неизвестные приложения по любым портам. Например, если кто-то выполняет SSH-соединение по разрешенному порту 123 для соединения NTP, то это должно блокироваться и расследоваться.
Основной проблемой перехода к полному анализу контента внутри сети различными технологиями является недостаточная производительность программных средств анализа при включении одновременно всех функций: антивируса, систем предотвращения атак, Web-фильтрации, анализа приложений, поведенческих алгоритмов. Ваша задача – покупая одногигабитное устройство, быть уверенным, что оно останется способным передавать Гбит/сек, выполняя все заявленные функции безопасности и маршрутизации. Компания Palo Alto Networks использует аппаратное распараллеливание алгоритмов анализа приложений, атак и вирусов, реализовала их на специализированных процессорах Cavium и чипах FPGA для проверки сигнатур IPS, антивируса и распознавания приложений за один проход в потоковом режиме. Например, в старшей модели PA-7050 работает более 400 процессоров для обеспечения анализа приложений и защиты от угроз на скорости до 120 Гбит/c.
Неважно, как сотрудник или VIP сегодня попал в сеть компании: с мобильного телефона, планшета или ноутбука, из аэропорта, офиса или дома, – он, его приложения и трафик будут под полной защитой и всего одним правилом. Интеграция с Active Directory, RADIUS, Exchange и др. системами позволяет шлюзам Palo Alto Networks понимать, какой сотрудник находится по данному IP-адресу. Использование мобильных клиентов GlobalProtect на телефонах и ноутбуках установит VPN-соединение с сетью компании, затем шлюз проконтролирует, что это за устройство и какие приложения установлены на его телефоне и рабочем компьютере, что было на его компьютере или телефоне до подключения к сети: был ли вовремя обновлен антивирус или запущено нужное корпоративное приложение из Apple Store или Google Play. Устройство GP-100 позволит проконтролировать работу политик компании на мобильных устройствах.
Вредоносный код сейчас существует в сетях постоянно. Нужно проверять проходящие между сегментами файлы. Если использовать сигнатурные технологии – они запаздывают с обнаружением и блокированием: сигнатуры приходят в лучшем случае лишь через несколько часов после выхода нового вида вредоносного кода. Есть возможность принимать решение, вредоносный файл или нет, за минуты! Поместив проходящий через МЭ файл в тестовую виртуальную машину (песочницу), вы можете узнать, к каким последствиям исследуемый файл реально приводит при запуске (если это EXE-файл) или при просмотре (если это DOC, XLS, PDF). Такие песочницы Palo Alto Networks называются WildFire – можно выслать файл в компанию или направить в собственное устройство с песочницами – модель WF-500. По результатам вредоносного поведения вы получаете не только сигнатуру для блокировки, но и подробный отчет, что вредоносного происходит при запуске. Облачная архитектура позволяет получать сигнатуры вредоносного кода, которые находят другие заказчики Palo Alto Networks.
Не все можно проконтролировать на сетевом уровне: реализация защиты от вредоносного кода и эксплойтов должна быть одновременно на рабочих станциях и серверах. Palo Alto Networks использует уникальный метод установки ловушек на все способы проникновения эксплойтов в операционные системы MS Windows – он реализован в продукте TRAPS. Этим продуктом уже остановлены различные виды неизвестных ранее атак.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2015