Современная система сетевой безопасности

Современные угрозы

Современные злоумышленники изобретают новые виды атак быстрее, чем появляются способы защиты от них. Они могут маскировать свои атаки и прятать вредоносныи код в Web-страницах и других фаилах. Отличить разрешенныи трафик от вредоносного становится все сложнее. Особенно это касается устроиств сетевои безопасности первого поколения, которые ограничивают защиту и политики лишь портами и протоколами. Предприятиям необходимо повышать уровень безопасности, поскольку традиционные архитектуры защиты, деиствующие по периметру, более не эффективны.

И скорее всего, ситуация будет меняться только в худшую сторону. Сеичас злоумышленники применяют гибкие системы разработки и тестирования, чтобы их вредоносное ПО преодолевало большинство устроиств сетевои безопасности. Достаточно только привести один пример. Некоторые средства защиты используют песочницы в виде виртуальных машин, в которых и запускается код для проверки его вредоносности. Однако злоумышленники на месте не стоят, и специально созданный ими вредоносный код может отслеживать факт его запуска в виртуальной песочнице и прекратить свою работу, оставаясь незамеченным для средств защиты, построенных по такому принципу.

Почему традиционной безопасности не хватает

Эти аспекты значительно усложняют обеспечение безопасности. Особенно это касается инструментов сетевои безопасности первого поколения, которые отличаются следующими ограничениями:

• отсутствие контроля мобильных устроиств;
• распространение виртуальных узлов;
• облачные приложения;
• зашифрованныи трафик и другие уязвимости, способствующие проникновению эксплоитов.

Если политики безопасности основаны только на портах и протоколах, невозможно отличить авторизированный Web-трафик от потенциальнои угрозы.

Когда пользователи работают в определенных Web-приложениях, последние открываются для всех служащих организации (другими словами, нельзя разрешить публиковать записи в Facebook только для маркетологов).

Невозможно анализировать входящие фаилы или Web-саиты в целях блокировки вредоносного ПО, прежде чем оно нанесет вред устроиствам и приведет к потере данных.

Кроме того, в новых облачных и мобильных архитектурах нет строгих правил, где должны быть расположены устроиства в сети и откуда они должны подключаться, что сильно усложняет управление сетевои безопасностью. Инструменты сетевои безопасности первого поколения не обеспечивают видимости в динамичных сетевых топологиях или анализ поведения сети для принятия решении.

Очевидно, чтобы меры безопасности не отставали от корпоративных технологии, предприятиям нужно переходить на новые решения сетевои безопасности.

Функциональность современной системы сетевой безопасности

Что должна включать в себя эффективная система сетевой безопасности? Кто-то будет перечислять модули, которыми должна обладать такая система, – МСЭ, IPS, VPN, AV и т.п. Но, на мой взгляд, это тупиковое направление, которое, скорее, показывает умение скрестить в одной "железке" несколько не связанных между собой защитных модулей, полученных производителем в разное время путем приобретения у разных компаний. Сегодня такой комбайн, в котором каждый защитный элемент независим от других и не может обмениваться с ними информацией, бесполезен с точки зрения решения актуальных задач безопасности.

Эффективная система сетевой безопасности должна включать в себя следующие компоненты:

Подсистема мониторинга
Невозможно контролировать то, чего вы не видите. Поэтому нужно не только точно определить, какие приложения активны в вашеи среде (вне зависимости от протокола), но также и отслеживать огромное количество подключенных узлов с распознаванием их типа, инфраструктур и пользователей. Прозрачная сеть позволит определить цель любого подключения, исходя из поведения пользователя или узла, а также контекста такого подключения, чтобы решить, нужно ли его разрешать, блокировать или ограничивать в доступе.

Подсистема отражения угроз
Видя всю сеть и трафик в ней, можно использовать различные механизмы обнаружения, в том числе на основе сигнатур, на основе уязвимостей, на основе IP- и URL-адресов, а также на основе аномалий или по всем этим признакам одновременно, для уменьшения числа ложных срабатываний и обнаружения того, что скрыто от отдельных защитных подсистем.

Подсистема профилирования и контроля доступа
Иногда гораздо проще не искать угрозы в каждом приложении или трафике от каждого узла, а исключить все, что явно не разрешено по требованиям IT или политики безопасности. Эту задачу помогает выполнить профилирование узлов, позволяющее описать разрешенные для каждого узла операционные системы, серверные и клиентские приложения, протоколы, IP-адреса и даже пользователей, которые могут работать на этом узле. Любые отклонения от такого "белого списка" позволят не только обнаружить скрытые действия вредоносных программ и нарушителей, но и уменьшить нагрузку на IT-департамент.

Подсистема корреляции
Современная система сетевой безопасности оперирует большим количеством различных событий безопасности, которые обнаруживаются подсистемой мониторинга, – атаки, аномалии, зараженные сайты, запрещенные протоколы, неразрешенные приложения, уязвимости, вредоносный код и т.п. События могут быть и менее очевидными, например доступ по определенному порту, загрузка файла из Интернета, сканирование внутренней сети, получение управляющей команды извне, отправка файлов наружу и т.п. Каждое такое событие по отдельности может и не представлять интереса с точки зрения сетевой безопасности. Но их комбинация может быть признаком компрометации внутренней сети или отдельных ее узлов. Как определить такие признаки компрометации? Как автоматизировать процесс сопоставления информации об уязвимостях узлов с информацией об атаках на них? Ручная сортировка тысяч событии системы безопасности ежедневно не только невозможна, но и приведет к тому, что будут пропущены опасные угрозы. Можно использовать дорогостоящие решения класса SIEM, а можно пойти по пути использования встроенной подсистемы корреляции, которая позволяет анализировать и коррелировать все события, собираемые подсистемой мониторинга.

Подсистема автоматизации рутинных задач
Соотносит угрозы со сведениями об уязвимости узла, сетевои топологиеи и контекстом атаки в целях уменьшения количества событии, которые требуют вмешательства службы реагирования на инциденты. Такая подсистема позволяет сфокусировать внимание только на наиболее важных событиях. Также такая подсистема позволяет на основе собранной подсистемой мониторинга информации самостоятельно рекомендовать новые и обновленные правила для защиты от динамических угроз в динамических средах.

Подсистема ретроспективного анализа
Давайте вспомним, как работает большинство систем сетевой безопасности? Они оперируют только тем трафиком, который проходит через них в реальном времени. Стоит какому-либо сетевому пакету или сессии пройти во внутреннюю сеть, как средство защиты "забывает" про них, переключаясь на новые сетевые данные, и если на момент пропуска и анализа система защиты ничего не знала о новых угрозах, то и сделать вывод о наличии или об отсутствии проблем в сетевом трафике она не в состоянии. В этом и кроется ключевой недостаток большинства защитных систем – они точечны в принятии решении и не имеют возможности взглянуть назад, на то, что проходило через средство защиты и уже анализировалось. Современная система сетевой безопасности должна обладать механизмом ретроспективной безопасности, которая умеет делать выводы постфактум на основе новой информации об угрозах. Это позволит обнаруживать вредоносные файлы даже тогда, когда они попали во внутреннюю сеть предприятия, но еще не успели распространиться по сети.

Интеграция с другими средствами корпоративной ИБ

Система сетевой безопасности, какой бы она ни была эффективной, не должна находиться в вакууме. Она должна уметь взаимодействовать с другими средствами защиты, установленными на предприятии. Например, она может получать данные о поведении тех или иных файлов, попавших на оконечные устройства и начинающих вести себя неподобающим образом – сканировать сеть, копировать конфиденциальную информацию, шифровать жесткий диск, отправлять собранные данные в Интернет и т.п. Получив такие сведения от средств защиты оконечных устройств, система сетевой безопасности может динамически поменять свои настройки и впредь такие файлы не пускать внутрь организации. Но это не единственный пример возможной интеграции современной системы сетевой безопасности.

Такая система может принимать данные об уязвимостях и запущенных сервисах, например от сканеров безопасности, тем самым повышая эффективность как подсистемы профилирования, так и подсистемы обнаружения угроз и подсистемы корреляции. Также система сетевой безопасности может брать уже кем-то собранные и записанные в формате pcap сетевые данные. Это позволит обнаруживать угрозы в тех сегментах, в которых по каким-то причинам невозможна установка систем сетевой безопасности, например в индустриальных сегментах АСУ ТП, вмешательство в работу которых невозможно. Но система сетевой безопасности может служить и источником данных для других систем безопасности, установленных на предприятии. И речь идет не только о системах класса SIEM, но и системах расследования инцидентов, системах контроля доступа (NAC) и т.п.

Резюме

Такие инновационные технологии, как облачные вычисления, виртуализация и мобильность, продолжают изменять способы предоставления IT-услуг в современных и динамично развивающихся компаниях. Предприятия должны быть способны обеспечить гибкии механизм защиты ключевых информационных активов от широкого спектра постоянно изменяющихся атак. В то же время и угрозы, с которыми сталкиваются организации, стали гораздо сложнее и многочисленнее. На сегодняшнии день злоумышленники используют усовершенствованные тактики, чтобы скрыть свои несанкционированные действия, заставляя уделять большое внимание точнои и масштабируемой сетевой безопасности.

Когда дело касается масштабируемости, можно рассчитывать лишь на то, что в скором времени устроиства и сети будут более функциональными и производительными, чем современные. Учитывая изощренность нынешних атак, необходимо защищать сеть на скорости соединения с помощью специально разработанных устроиств. Это единственныи способ противостоять нынешним и будущим злоумышленникам.

Все эти факторы дают основу для нового поколения систем сетевои безопасности. Преодолевая ограничения в устроиствах первого поколения, которые основывались на портах и протоколах, средства сетевои защиты нового поколения обеспечивают точныи контроль приложении, позволяющии обнаруживать (и блокировать) аномальные деиствия широкого спектра. Кроме того, с сегодняшнеи динамичнои сетевои инфраструктурои полная прозрачность сети является жизненно важнои. Чтобы защитить устроиства и сотрудников, вам необходимо уметь видеть все, что происходит в сети, оперативно оценивать ситуацию и собирать информацию для дальнейшего анализа.

Однако тщательныи контроль и прозрачность будут бесполезны, если устроиства сетевойбезопасности нового поколения будут сложны в настроике и работе. Администраторы смогут сосредоточиться на наиболее важных сигналах тревоги благодаря автоматическои настроике политик безопасности на основе анализа ситуации. Сегодня мы уже можем создать и использовать такую систему безопасности, которая деиствует непрерывно и остается актуальной в постоянно изменяющемся мире угроз, пользователей, приложений и задач IT.

Наконец, любая платформа сетевои безопасности нового поколения должна соответствовать классу предприятия. И это не просто масштабирование согласно требованиям к производительности и отказоустоичивости в вашей среде. Это централизованное управление политиками и подсистемами безопасности, поддержка различных функции безопасности (межсетевои экран, предотвращение вторжений, обнаружение вредоносного ПО, контроль контента, сканирование уязвимостей, управление инцидентами и т.п.), а также предоставление открытой среды для интеграции с иными существующими системами защиты. Только такая система сетевой безопасности сможет эффективно решать стоящие перед службами ИБ задачи.