TОП 5 ИБ-технологий, которые будут в вашей сетиМнение лидера отрасли компании Palo Alto Networks

1. Контроль известных приложений и файлов во всех сегментах сети и блокировка всего неизвестного – технология APP-ID и Zero Trust

Понятие периметра изменилось: теперь каждая рабочая станция и сервер – это часть периметра защиты.

При этом:

• треть трафика сети зашифрована SSL, а там идут и вирусы, и секретные документы: HTTPS, SMTPS, FTPS, SFTP, Dropbox, Facebook, Gmail;
• часть трафика зашифрована VPN, SSH, TOR, TeamViewer, Skype, Hamachi, Freenet, TCP-over-DNS;
• 9 из 10 приложений в ЦОДах являются самими атакуемыми: SMB, SQL, RPC, бизнес-приложения;
• сотрудники используют для обмена файлами FTP, Bittorent, Yandex.disk, MSN, ICQ, Google Cloud, Megaupload и другие приложения.

Можете ли вы говорить, что контролируете свою сеть? Хакеры ответили отрицательно: согласно отчету Group IB, из 50 российских банков ими украдено более 1 млрд руб. за 2013–2014 год. Это можно было предотвратить.

Ваша сеть обслуживает порядка 200–300 различных приложений. Любое из этих приложений может быть использовано хакерами для пошагового проникновения в сеть. По одному открытому порту 53 или 80 работает несколько десятков различных приложений. Например, если вы открыли порт 53, то через него ходит Bittorrent, MSN, TCP-over-DNS и другие приложения. Понятие порта в правилах межсетевых экранов утратило начальный смысл – нужно уметь определять приложение по контенту вне зависимости от порта. Часть приложений в сети работает по нестандартным и динамическим портам. Вам надо сначала увидеть все эти приложения и затем проконтролировать их, блокируя все несанкционированные и неизвестные приложения по любым портам. Например, если кто-то выполняет SSH-соединение по разрешенному порту 123 для соединения NTP, то это должно блокироваться и расследоваться.

2. Аппаратная реализация защиты от атак, вирусов, Spyware, Web-фильтрации, DLP, бот-сетей – технология CONTENT-ID

Основной проблемой перехода к полному анализу контента внутри сети различными технологиями является недостаточная производительность программных средств анализа при включении одновременно всех функций: антивируса, систем предотвращения атак, Web-фильтрации, анализа приложений, поведенческих алгоритмов. Ваша задача – покупая одногигабитное устройство, быть уверенным, что оно останется способным передавать Гбит/сек, выполняя все заявленные функции безопасности и маршрутизации. Компания Palo Alto Networks использует аппаратное распараллеливание алгоритмов анализа приложений, атак и вирусов, реализовала их на специализированных процессорах Cavium и чипах FPGA для проверки сигнатур IPS, антивируса и распознавания приложений за один проход в потоковом режиме. Например, в старшей модели PA-7050 работает более 400 процессоров для обеспечения анализа приложений и защиты от угроз на скорости до 120 Гбит/c.

3. Использование в правилах имени пользователя и управление мобильными устройствами – технология USER-ID, Global Protect

Неважно, как сотрудник или VIP сегодня попал в сеть компании: с мобильного телефона, планшета или ноутбука, из аэропорта, офиса или дома, – он, его приложения и трафик будут под полной защитой и всего одним правилом. Интеграция с Active Directory, RADIUS, Exchange и др. системами позволяет шлюзам Palo Alto Networks понимать, какой сотрудник находится по данному IP-адресу. Использование мобильных клиентов GlobalProtect на телефонах и ноутбуках установит VPN-соединение с сетью компании, затем шлюз проконтролирует, что это за устройство и какие приложения установлены на его телефоне и рабочем компьютере, что было на его компьютере или телефоне до подключения к сети: был ли вовремя обновлен антивирус или запущено нужное корпоративное приложение из Apple Store или Google Play. Устройство GP-100 позволит проконтролировать работу политик компании на мобильных устройствах.

4. Динамическая защита от неизвестного вредоносного кода – защита от направленных атак: WildFire

Вредоносный код сейчас существует в сетях постоянно. Нужно проверять проходящие между сегментами файлы. Если использовать сигнатурные технологии – они запаздывают с обнаружением и блокированием: сигнатуры приходят в лучшем случае лишь через несколько часов после выхода нового вида вредоносного кода. Есть возможность принимать решение, вредоносный файл или нет, за минуты! Поместив проходящий через МЭ файл в тестовую виртуальную машину (песочницу), вы можете узнать, к каким последствиям исследуемый файл реально приводит при запуске (если это EXE-файл) или при просмотре (если это DOC, XLS, PDF). Такие песочницы Palo Alto Networks называются WildFire – можно выслать файл в компанию или направить в собственное устройство с песочницами – модель WF-500. По результатам вредоносного поведения вы получаете не только сигнатуру для блокировки, но и подробный отчет, что вредоносного происходит при запуске. Облачная архитектура позволяет получать сигнатуры вредоносного кода, которые находят другие заказчики Palo Alto Networks.

5. Предотвращение неизвестных эксплойтов на рабочих станциях и серверах – TRAPS

Не все можно проконтролировать на сетевом уровне: реализация защиты от вредоносного кода и эксплойтов должна быть одновременно на рабочих станциях и серверах. Palo Alto Networks использует уникальный метод установки ловушек на все способы проникновения эксплойтов в операционные системы MS Windows – он реализован в продукте TRAPS. Этим продуктом уже остановлены различные виды неизвестных ранее атак.