SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Расширение защиты в NGFW и UTM

Расширение защиты в NGFW и UTM
02.10.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


 Руслан Рахметов, Security Vision 


Компании защищают свой внутренний периметр различными средствами, но первое, что приходит на ум для защиты от сетевых угроз – FireWall, который мы уже упоминали в ходе обзора ИБ‑решений. В текущей статье мы разберем примеры применения, функциональные возможности и отличия между классическим брандмауэром, NGFW и UTM.


Если представить себе развитие защиты организации как развитие персонажа в RPG, то конкретное средство может быть специальным навыком (perk, skill), предметом в инвентаре или доспехом, который можно собрать по частям для обеспечения комплексной защиты.


Классический FireWall, FW


FW (FireWall) – это сетевое устройство или программное обеспечение, которое используется для контроля и фильтрации трафика. Основная цель его – предотвращение несанкционированного доступа к защищаемым данным снаружи и ограничение отправки пакетов данных в обратную сторону.


С одной стороны, он может выполнять функции, схожие с VPN-сервисами, скрывая IP‑адрес и порты от внешнего мира. В таком режиме данное средство защиты работает как маскировка, специальный элемент брони, повещающий скрытность нашего героя-периметр компании. Скрытность могла бы быть идеальной (тогда персонаж будет скрыт от своих врагов, когда это нужно). Но, как и в настольных и компьютерных играх, в реальной жизни такой уровень достигнуть сложно, поскольку у хакеров есть способности и инструменты по выявлению реальных адресов и проникновению в сеть за счёт различных уловок.


С другой стороны, FW может разрешать или блокировать сетевой трафик в зависимости от заранее определённых правил и политик безопасности (используя, например, списки приложений, пытающихся получить доступ в интернет или черные/белые списки внешних IP-адресов). В режиме блокировки по заранее определённым правилам FW похож на естественные укрытия, безопасные зоны на поле сражения, где враг физически не может до вас дотянуться.


Классические брандмауэры обычно работают на транспортном (TCP/IP) или сетевом (IP) уровне сети, могут быть физическими устройствами или программными приложениями, установленными на серверах или маршрутизаторах. Средство защиты сетевого трафика в базовом виде реализовано и нативно внедрено во многих операционных системах, например, UFW (Uncomplicated FireWall) в Ubuntu (аналогичные сервисы существуют и в других Linux дистрибутивах) или брандмауэре Microsoft Defender.


Универсальный шлюз, UTM


UTM (Unified Threat Management) – это шлюз, сочетающий в себе функции классического FW и других систем безопасности. При интеграции в единый комплекс их количество и возможности могут варьироваться, но чаще всего UTM включает в себя:

· FW;

· IPS – средство предотвращения вторжений;

· DLP – средство анализа трафика на предмет наличия чувствительной информации;

· Anti-SPAM – средство защиты почтового трафика от нежелательных сообщений;

· VPN – средство виртуализации сети и обеспечения безопасных тоннелей передачи данных.


Компоненты UTM изначально развивались как самостоятельные решения. Сравнить такой подход можно с применением нескольких элементов доспехов, прикрывающих части тела компании в виде персонажа ролевой игры. Собрать такую броню можно, но стоит учитывать, что отдельные её кусочки должны быть сочетаемы. За подобную интеграцию отвечает ядро каждой UTM‑системы, поэтому применение несоответствующих элементов возможно при раздельном применении нескольких UTM с подходящими элементами. При этом для стабильности обычно используется единственное решение с его набором ограничений или выстраивается экосистема за счёт коннекторов, например, с применением SOAR-платформы.


В силу своей многозадачности, последовательной обработки данных и совокупных требований к железу такие системы Gartner считает подходящими для компаний с численностью сотрудников от 100 до 1000. Для ускорения обработки и защиты рекомендуется использовать средства нового поколения, о которых мы расскажем далее.


FireWall нового поколения, NGFW


NGFW (Next Generation Firewall) - это межсетевой экран нового поколения, который сочетает в себе сразу несколько возможностей защиты, которые функционируют параллельно. В дополнение к комбинации средств защиты из предыдущей части статьи NGFW чаще включают в себя:

· AV – средство антивирусной защиты;

· Sandbox – средство проверки подозрительных объектов в изолированной песочнице.


NGFW могут обеспечивать также контроль трафика на уровне приложений. Мы уже разбирали такой подход защиты веб-приложений при помощи Web Application FireWall (WAF) в отдельной записи блога и аудио подкасте.


Как было отмечено ранее, ключевое отличие NGFW – параллельное исполнение задач, т.е. снижение нагрузки и времени, за которое обрабатывается подозрение на инцидент. Если применить такое правило для нашего персонажа, файрволл нового поколения – это не комплект из отдельных предметов, а редкий артефакт или спутник, который защищает вас и не тратит драгоценные очки действий, работая полностью независимо.


Аналитики компании Gartner определяют NGFW как решение, эффективное для компаний большого масштаба или под действием целенаправленных массовых атак.


Пример, как может работать комплексная защита


Представим себе атаку хитрого, но уже отлично изученного монстра – фишингового письма.


У такого письма может быть высокий уровень харизмы и привлекательности (текст, заставляющий нажать заветную кнопку, ответить на предложение и передать свои данные прямо в руки врагу). С харизмой поможет работать не только ваша внимательность (например, используйте советы из статьи про кибергигиену), но и уже преднастроенные фильтры anti-SPAM движка, куда попадают миллионы писем из тех 3 000 000 000, которые отправляются ежедневно. В случае успеха письмо может быть ещё на этапе отправки злоумышленником или до попадания в вашу инфраструктуру.


Но если что-то пошло не так, к защите подключаются другие средства защиты:


1. FW – брандмауэр

За счёт преднастроенных списков IP-адресов, с которых может быть получено вредоносное письмо, этот инструмент может отразить урон. Считайте это мудростью вашего персонажа, который заранее продумал типы урона и источники угроза, к которым будет действовать иммунитет.


Похожим образом защиту можно выстроить с применением внешних сервисов аналитики (URLScan, WhoIsXML и др.), которые можно интегрировать в ваш процесс обработки инцидентов при помощи SOAR: отдельные элементы письма и ссылки направляются по API во внешнюю систему, где проходят проверку и возвращают результат в виде описания и потенциального рейтинга угрозы.


2. AV – антивирус

Антивирусный модуль сможет проверить красочные картинки письма и другие вложения на возможные вредоносы. Считайте это проверкой ловкости, когда вы можете парировать атаку и избежать урона.


Как и в предыдущем пункте, если антивирусный движок не входит в используемое решение или вы хотите подключить дополнительные сервисы (VirusTotal, например) – это можно сделать и за счёт коннектора к 3rd party.


3. Sandbox – песочница

Существуют и способы проверки файлов в безопасной изолированной среде, которую называют песочницей. В случае применения такого модуля потенциальный зловред, конечно, запустится, но не нанесёт вреда. Считайте это применением заклинания иллюзии, когда на самом деле атакует не вашего персонажа, а значит и урона нанести не сможет.


Отдельного описания заслуживает и такой вариант песочницы, как веб изоляция: когда письмо на самом деле открывается в отдельном окне (как картинка, например) и лишается своих кликабельных ссылок.


4. IPS – предотвращение вторжений

Такое средство не просто мониторит возможные атаки, но и запускает процессы защиты в случае подозрительных действий. Считайте это вашим контрударом или блокированием урона щитом.


Если же вы все-таки по ошибке, неосведомлённости или недостаточном уровне защиты решили ответить на сообщение, может подключиться дополнительное средство анализа, входящее в комплект:


5. DLP – защита от утечек

Данное средство анализа проверит уже исходящий трафик на предмет наличия персональных данных или другой важной для вас или компании информации, заблокирует отправку по необходимости. Тогда злоумышленник все равно не сможет получить от вас полезные ему сведения. Считайте это возможностью управлять диалогом с NPC-нарушителем, когда вы можете отменить неверное решение и успешно закрыть текущий квест.


Таким образом, можно применить различные средства защиты, которые могут существовать отдельно, входить в состав единого шлюза UTM или NGFW, где все действия и проверки выполнятся автоматически и параллельно.

NG SOAR (Next Generation SOAR) SOAR Практика ИБ Управление ИБ DLP Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют