Обзор средств информационной безопасности: сетевая защита

Руслан Рахметов, Security Vision

Рис. 1 – Средства защиты информации и взаимосвязи

В завершающей части нашего обзора мы уделим внимание средствам защиты информации, которые связаны не только с защитой конечных точек, но и с защитой сети. Инфраструктурные решения обычно самые первые, которые приобретаются для защиты компаний, но несмотря на это многие имеют свои особенности, интересные и крупным организациям, в которых уже применяются десятки решений. Также решения из четвёртого блока обзора часто знакомы и обычным пользователям сети Интернет и компьютеров в целом. 

Рис. 2 – Virtual Private Network (VPN) – виртуальная частная сеть

Технологии, позволяющие обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет. VPN-сервисы – это клиент серверные приложения: специальное приложение на мобильном устройстве, сервере ноутбуке позволяет установить прямое туннелированное соединение с сервером. Сам сервер при этом может находится внутри корпоративного периметра, за его пределами и даже в другой стране. В зависимости от назначения сервисы также можно разделить на те, что необходимы для интранет- и интернет-подключений, или для удалённого доступа к различным объектам в сети.

Поскольку трафик перенаправляется через отдельный узел, стоит обратить внимание на его безопасность, а также на средства криптографической защиты трафика для особо важных подключений. С точки зрения обычного пользователя при применении VPN-сервисов также стоит уделить внимание безопасности – если сервер VPN недоверенный, он позволяет злоумышленникам получить копию вашего трафика и те данные, которые вы передаёте.

ЗАДАЧИ:

     · Создание безопасного удалённого доступа к корпоративной сети
     · Маршрутизация трафика через специальные сервера
     · Безопасное подключение к сервисам поверх другого соединения

Рис. 3 – Web Application Firewall (WAF) – защита веб приложений

В отличие от классического брандмауэра и межсетевых экранов нового поколения (которые мы рассматривали в прошлой части обзора), данные средства фильтрации сетевого трафика, специально ориентированы на веб-приложения и их пользователей. Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика.

Обычно решения для защиты веб-приложений тесно связаны с фильтрацией (см. далее) и анализом уже прошедших эту фильтрацию запросов. WAF способен скрыть от злоумышленников реальный адрес атакуемого приложения, а при попытках получения несанкционированного доступа – закрывать уязвимости временными «заглушками», используя технологии DAST/IAST. Для анализа трафика применяются также технологии машинного обучения и базы, постоянно обновляемые аналитиками в облаке.

ЗАДАЧИ:

     · Выстраивание периметровой защиты для веб-ресурса
     · Скрытие реального IP-адреса и повышение защищённости
     · Анализ запросов и защита от проникновения

Рис. 4 – Anti - Distributed Denial of Service (a-DDoS)– фильтрация запросов к приложению

Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика на прикладном и сетевом уровнях с использованием методов поведенческого анализа. При этом сам программный продукт разворачивается не на периметре сети компании (как в примере выше), а на глобальных маршрутах трафика по всему миру.

Благодаря такой архитектуре, подобные сервисы часто используются в режиме подписки и не накладывают обременения на ресурсы компании. Фильтрация происходит на узлах магистралей, при этом подозрительные запросы и потенциальные бот-атаки эффективно отбиваются ещё до момента поступления трафика в веб-приложение.

ЗАДАЧИ:

Рис. 5 – Container Security (CS) – защита контейнеризации

Для обеспечения безопасности контейнеров применяют технологии, которые обычно состоят из трёх компонентов. Консоль управления – центральный серверный элемент управления, позволяющий встраивать решение в конвейер разработки, интегрироваться с SIEM, проверять образы в репозиториях и удобно управлять сканированием развёрнутых контейнеров. При помощи агентской части системы внутри контейнеров можно дополнительно повышать защиту, как это делают AV/EDR системы. Третий компонент, облако данных, объединяет и коррелирует актуальные данные об угрозах для разработки от провайдеров, а также собственные данные Агент сканирования контролирует активность контейнеров и хостов во время исполнения и обеспечивает их безопасность.

ЗАДАЧИ:

     · Повышение безопасности внутри контейнеров
     · Анализ репозиториев и централизованное управление
     · Решение общих задач ИБ/ИТ и задач в цикле DevSecOps

Песочница – это комплекс защиты от направленных атак, представляющий из себя специализированное средство обнаружения – изолированную виртуальную среду. Технологически песочница представляет из себя копию ОС (или её части) или контейнер с подготовленной средой. Для злоумышленников и вредоносных программ песочница выглядит и ведёт себя как настоящая атакуемая система, но на самом деле специальные средства мониторинга отслеживают любые активности, которые способны навредить компьютеру или серверу.

Технологии песочницы используются некоторыми производителями антивирусов и EDR систем, а сами вдохновляются технологией контейнеризации, поскольку она наиболее эффективно и быстро позволяет провести репутационную оценку, эвристический анализ и обнаружить угрозы.

ЗАДАЧИ:

     · Изоляция потенциальной вредоносной активности
     · Анализ поведения файлов и обнаружение угроз нулевого дня
     · Применение в продуктах других классов

Рис. 7 – Asset Management (AM) – управление активами

Для реализации защиты инфраструктуры часто нужно подготовиться, проведя инвентаризацию активов (рабочий станций, серверов, сетевого оборудования, пользователей и программного обеспечения). Подходы к инвентаризации всегда разные, но из-за того, что результат анализа активов может применяться в разных отраслях, появились специализированные автоматические средства ПО. Часть средств используют клиент-серверную архитектуру, собирая основные полезные данные при помощи агентов на АРМ, но существуют и средства, которые используют для этого многочисленные интеграции и безагенсткий подход: сетевое сканирование и применение скриптов. При этом в результате работы программ по управлению активами появляется полная картина ИТ-ландшафта компании.

Результаты инвентаризации и отчёты используются ИТ-специалистами для организации жизненного цикла объектов в инфраструктуре (обновление, выход из строя и т.д.), ИБ специалистами для анализа инцидентов и уязвимых прошивок, и ПО, а также специалистами по анализу рисков и аудиторами (например, в рамках категорирования объектов согласно 187-ФЗ о КИИ).

ЗАДАЧИ:

     · Цифровизация определение ИТ-ландшафта      · Сбор данных об активах с целью повышения их безопасности      · Реализация организационных мер для оценки рисков и соответствия требованиям регуляторов