SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что такое шлюзы безопасности и какие функции они выполняют

Что такое шлюзы безопасности и какие функции они выполняют
22.04.2024

Руслан Рахметов, Security Vision

 

При выполнении проектов по защите информации традиционным большим направлением является обеспечение сетевой безопасности, т.е. защиты данных, передающихся по каналам связи, и защита непосредственно сетевого оборудования, которое обеспечивает сетевую связность узлов, обрабатывающих информацию. Сетевая безопасность является одним из старейших и ключевых направлений кибербезопасности - без защиты современных каналов коммуникаций невозможно представить ни работу офиса крупной компании, ни предоставление услуг через Интернет, ни облачных инфраструктур. Сегодня уже практически не осталось устройств обработки информации, которые не подключены к локальным или глобальным сетям, за исключением изолированных, автономных (standalone) решений для обработки особо чувствительных сведений. Для обеспечения сетевой безопасности используются разнообразные сетевые СЗИ - межсетевые экраны, системы обнаружения и предотвращения вторжений, анализаторы сетевого трафика, прокси-серверы и прочие решения, которые зачастую объединяются под единым термином шлюз безопасности (англ. Security Gateway) или под современной аббревиатурой SWG (Secure Web Gateway, шлюзы сетевой безопасности), которым и посвящена данная статья.

 

Итак, в соответствии с определением из стандарта ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1», шлюз безопасности – это точка соединения между сетями, между сегментами сетей или между программными приложениями в различных доменах безопасности, предназначенная для защиты сети в соответствии с существующей политикой безопасности. Как указано в стандарте ISO/IEC 27033-4:2014 "Network security - Part 4: Securing communications between networks using security gateways" («Сетевая безопасность - Часть 4: Защита коммуникаций между сетями с помощью шлюзов безопасности»), шлюзы безопасности размещают на границе между двумя (или более) сетевыми сегментами для фильтрации проходящего через неё трафика в соответствии с заданными политиками сетевого доступа, а также для разделения сетевых сегментов при их использовании разными организациями (например, разными тенантами в облачной инфраструктуре).

 

В соответствии со стандартом ISO/IEC 27033-4:2014 основными угрозами, от которых защищают шлюзы безопасности, являются:

- Отказ в доступе для авторизованных пользователей;

- Несанкционированное разглашение или изменение данных;

- Несанкционированное изменение конфигурации системы;

- Несанкционированное использование ресурсов и активов организации;

- Воздействие ВПО;

- Отказ в доступе для авторизованных пользователей;

- DDoS-атаки на шлюз безопасности.

 

Следовательно, шлюзы безопасности должны обладать следующими функциями безопасности:

- Обеспечивать логическую сетевую сегментацию;

- Анализировать и ограничивать трафик, проходящий между логическими сетями;

- Контролировать доступ к корпоративной сети и из корпоративной сети с помощью сетевой инспекции или проксирования сетевых соединений;

- Обеспечивать реализацию корпоративной политики сетевого доступа;

- Журналировать трафик для последующего аудита;

- Скрывать архитектуру внутренней сети, устройств и приложений;

- Предоставлять возможность управления сетью, в том числе для защиты от DDoS-атак.

 

Решения для сетевой безопасности непрерывно эволюционируют, и в последнее время все чаще встречается аббревиатура SWG (Secure Web Gateway) - это шлюз сетевой безопасности, обладающий расширенным защитным функционалом. В соответствии с определением исследовательской компании Гартнер, SWG-решения защищают устройства от вирусных заражений, выполняют фильтрацию трафика от ВПО, обеспечивают выполнение корпоративных политик сетевого доступа и соответствие регуляторным требованиям. Функционал SWG, как правило, включает в себя фильтрацию интернет-трафика, выявление и фильтрацию вредоносного кода, контроль популярных сетевых приложений (браузеры, мессенджеры), защиту от утечек данных. Системы класса SWG могут устанавливаться как в инфраструктуре компании (on-prem) в виде программных и аппаратных решений, так и работать как облачный сервис. Проверки, выполняемые SWG-шлюзом сетевой безопасности на предмет соответствия внутренним корпоративным политикам и регуляторным нормам, заключаются в анализе веб-страниц и приложений, к которым обращаются пользователи - посещаемые ресурсы не должны содержать запрещенную информацию и не должны негативно влиять на производительность сетевого оборудования (т.е. не «забивать» канал связи объемным трафиком), в некоторых случаях под корпоративный запрет могут попасть социальные сети, мессенджеры, видеохостинги, игры и т.д.. Важной опцией SWG-шлюзов сетевой безопасности является возможность выполнения анализа зашифрованного интернет-трафика - подобный способ называется инспекцией и заключается в расшифровывании трафика "на лету" сетевым оборудованием с использованием сертификатов безопасности, выданных корпоративным центром сертификации. Данный способ является эффективным для выявления утечек данных, ВПО и признаков вредоносной активности (например, соединений зараженных устройств с хакерскими серверами управлениями), поскольку в современном киберпространстве практически 100% трафика передается в зашифрованном виде.

 

Рассмотрим еще несколько важных функциональных особенностей SWG-шлюзов сетевой безопасности:

- Фильтрация URL-адресов: категорирование и фильтрация обращений к интернет-доменам обеспечивает ограничение доступа пользователей к потенциально опасным или незаконным веб-ресурсам, например, с азартными играми, нелицензионным ПО, опасными программами, а также блокирует доступ к фишинговым и вредоносным ресурсам;

- Обнаружение вторжений: модуль обнаружения и предотвращения сетевых вторжений распознает в трафике признаки ВПО, эксплойтов, инструментов совершения кибератак, а также позволяет выявлять аномалии в трафике;

- Контроль приложений: модуль выявления трафика, характерного для определенных программ (мессенджеры, системы совместной работы, облачные хранилища и т.д.), позволяет применять гранулированные правила сетевого доступа для различных групп пользователей и различных приложений;

- Выявление вредоносного содержимого: модуль позволяет выявить ВПО разных типов (вирусы, сетевые черви, трояны, программы-шпионы и т.д.) с помощью различных методов обнаружения (сигнатурный анализ, анализ в «песочнице») и заблокировать скачивание опасных файлов;

- Обеспечение безопасности DNS: модуль анализа и защиты DNS позволяет выявить запросы к подозрительным доменам (методы DGA и DNS Fast Flux), обнаружить соединения зараженных устройств с C&C-серверами атакующих, выявить скрытые каналы утечки информации (техника DNS-туннелирования);

- Обеспечение защищенной удаленной работы: возможность направить веб-трафик удаленных сотрудников через точку фильтрации в виде облачного SWG-шлюза сетевой безопасности позволяет обеспечить безопасность интернет-коммуникаций персонала при работе не из офиса;

- Защита от утечек данных: встроенный модуль DLP (Data Loss Prevention, предотвращение утечек данных) позволяет анализировать сетевой трафик на наличие конфиденциальной корпоративной информации и выявить или заблокировать утечку таких данных по каналам сетевых коммуникаций.

 

Развитием концепции защищенного доступа к корпоративным ресурсам стали платформы безопасного пограничного доступа (SASE, Secure Access Service Edge), представляющие собой комплексное решение для обеспечения сетевой безопасности облачного и удаленного доступа за счет совместного применения SWG-шлюзов сетевой безопасности и брокеров безопасного доступа в облачную инфраструктуру (CASB, Cloud Access Security Broker), а также применения сетевых технологий ZTNA (Zero Trust Network Access, средства предоставления сетевого доступа с нулевым доверием) и SD-WAN (программно-определяемая сеть). Такие продвинутые продукты позволяют предоставлять безопасный удаленный доступ работников к различным ресурсам компании (включая on-prem и облачные ресурсы), проводить глубокий анализ подключающихся устройств и сущностей для выявления киберугроз, обеспечивать соблюдение корпоративных политик обработки конфиденциальной информации.

 

При интеграции в информационную инфраструктуру шлюзов безопасности, включая SWG-решения и SASE-платформы, важно обеспечить бесшовное и полноценное взаимодействие между данными решениями и другими СЗИ в составе системы управления корпоративной кибербезопасностью. Для этого при выборе шлюза безопасности необходимо руководствоваться не только реализованными в нем функциями безопасности, но и интеграционными возможностями: отправка событий ИБ по протоколам syslog, eStreamer, OPSEC, NetFlow, передача сообщений в форматах CEF, LEEF, EMBLEM, ELFF, взаимодействие по API. Важно также обеспечить возможность централизованного управления шлюзами безопасности - как правило, это реализуется либо через SSH-подключение к устройствам, либо через API-интеграцию, что позволяет предпринимать оперативные действия по реагированию на киберинциденты в случае использования решений класса IRP/SOAR, например, блокировать IP-адреса злоумышленников, выполнять сетевую изоляцию атакованных устройств или помещать их в карантин, перенастраивать правила сетевого доступа.

СЗИ Практика ИБ ИБ для начинающих

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание