Urządzenia do ochrony sieci 2

Wpis zawiera drugą część poprzedniego wpisu wymieniającą rozwiązania zapewniające bezpieczeństwo sieci w firmie. Poniżej przedstawiam popularne rozwiązania i urządzenia wraz z krótkim opisem. Wraz z pojawianiem się kolejnych rozwiązań podwyższających bezpieczeństwo infrastruktury firmowej postaram się uzupełniać tę listę.

1.SA – Security Analytics

Czyli analityka bezpieczeństwa ruchu sieciowego, dedykowana raczej dla dużych i bardzo dużych firm. Można pokusić się o stwierdzenie, że to następca systemów SIEM, który umożliwia bardziej szczegółowe filtrowanie i analizę zdarzeń. Systemy SA przypominają w działaniu systemy SIEM, tj. oferują filtrowanie zdarzeń, zapisywanie logów i zarządzanie nimi oraz analizę behawioralną. Dodatkowo systemy SA umożliwiają korelację danych ze zdarzeń i analizy podejrzanego ruchu sieciowego, identyfikują współużytkowane konta i wykrywają konta skompromitowane. Systemy SA zbierają i gromadzą dane z systemów IAM, DLP, urządzeń i aplikacji biznesowych. Dane są porównywane z zaraportowanymi incydentami bezpieczeństwa zarówno wewnątrz firmy jak i z zewnątrz firmy. Działają w warstwach 2 do 7.

Systemy SA mogą identyfikować nie tylko stare zagrożenia ale i nowe zagrożenia poprzez identyfikowanie nowych problemów i ich korelację
z anomaliami, trendami i sygnałami o podejrzanych aktywnościach. Dane do analizy zagrożeń są czerpane nie tylko z wewnętrznych systemów firmy ale również z zewnętrznych danych pochodzących z chmur (AI) od wielu różnych dostawców danych, m.in. VirusTotal, Team Crmu, Sorbs, Whois i innych. W ten sposób umożliwiają szybsze wykrywanie zagrożeń atakami na infrastrukturę firmy, a tym samym automatyzację odpowiedzi na cyberataki. Systemy SA są przygotowane do pracy w mieszanych, hybrydowych środowiskach łączących tradycyjną infrastrukturę z rozwiązaniami chmurowymi. Podobnie jak SIEM umożliwia generowanie raportów, dodatkowo mają bogate możliwości przeprowadzenia analiz śledczych. System SA to obowiązkowy system dla korporacji z branży medycznej, finansowej i przemysłowej wykorzystującej w środowisku systemy SCADA – które obowiązują uregulowania prawne GDPR, PII HIPAA, PCI DSS czy SOX (Sarbanes-Oxley Act).

2.DAM – Database Activity Monitoring

Czyli systemy monitorowania baz danych. Systemy DAM za pomocą agentów kolekcjonują zebrane dane i zapisują je w jednej centralnie zarządzanej bazie danych, oczywiście innej niż bazy monitorowane. Dostęp do bazy jest realizowany za pomocą konsoli zarządzającej. Systemy DAM oferują monitorowanie aktywności aplikacji, monitorowanie pamięci baz danych, monitorowanie i kontrolę kont użytkowników uprzywilejowanych oraz monitorowanie aktywności związane z dostępami do baz danych. SA są często integrowane z systemami SIEM i IAM. Systemy SA mogą blokować podejrzane działania zarówno w środowisku tradycyjnym, wirtualnym jak i w chmurach. Systemy SA oferują możliwość skonfigurowania audytowania na potrzeby zapewnienia zgodności ze standardami.

3.PAM – Privileged Access Management

Czyli system zarządzania kontami uprzywilejowanymi. Umożliwia uwierzytelnienie i zapewnia kontrolę dostępu kont administracyjnych do urządzeń sieciowych i aplikacji. System PAM umożliwia monitorowanie i rejestrowanie sesji administracyjnych dzięki czemu prace administratorów są w pełni rozliczalne i audytowalne. Hasła administracyjne do poszczególnych urządzeń i aplikacji są zapisywane w szyfrowanej bazie danych i przypisane poszczególnym administratorom po zalogowaniu do systemu PAM.. Systemy PAM oferują-monitorowanie komend na produkcji, kontrolę kont współużytkowanych. PAM to obowiązkowy system dla firm z branży medycznej, finansowej – które obowiązują uregulowania prawne RODO/GDPR, HIPAA, PCI DSS czy SOX. To również niezbędny system w każdym SOC odpowiedzialnym za bezpieczeństwo firmy.

4.IAM (IdM) – Identity Access Management

Czyli system do zarządzania tożsamością użytkowników, służy do zarządzania prawami dostępu dla określonych zasobów dla określonych użytkowników. Poprawne wdrożenie wymaga określenia roli użytkownika w organizacji (RBAC – Role Base Access Control) i określenie zakresu dostępów do poszczególnych zasobów i usług w firmie. System IAM daje okazję do zarządzania procesem nadawania i odbierania uprawnień użytkownikom, uwierzytelnienia, autoryzacji i rozliczalności, dzięki czemu ogranicza możliwości wycieku z firmy informacji wrażliwych. System IAM umożliwia spełnienie wymogów różnych uregulowań prawnych, szczególnie w branżach, w których są przetwarzane informacje wrażliwe.

5.WCF – Web Content Filter

Czyli system filtrowania treści stron internetowych. WCF uniemożliwia dostęp z sieci formowej do określonych stron lub treści internetowych. W ten sposób zmniejsza ryzyko odwiedzin zainfekowanych serwisów internetowych, które mogą stanowić źródło infekcji. Uniemożliwia pracownikom firmy odwiedziny serwisów zawierających nieodpowiednie treści, które mogłyby doprowadzić do naruszenia procedur firmowych. Pracodawcy w celu poprawy efektywności pracowników za pomocą WCF ograniczają dostęp do sklepów internetowych, kasyn, mediów społecznościowych czy też stron zawierających treści z negliżem. WCF może korzystać czarnych list, z kategorii do których są przypisane określone strony czy też ze słów kluczowych. WCF może filtrować URI i blokować skompromitowane strony.

6.WAF – Web Application Firewall

Czyli zapora ogniowa chroniąca aplikacje. Umożliwia filtrowanie ruchu z i do aplikacji, monitorowanie ruchu z i do aplikacji a w uzasadnionych przypadkach blokowanie ruchu z i do aplikacji. Wykorzystuje analizę sygnaturową, blokuje szkodliwe oprogramowanie, można go rozwijać poprzez wykorzystanie dodatkowych reguł. WAF blokuje szkodliwe oprogramowanie i próby ataków SQL Injection, Cross Site Scripting, Directory Traversal czy Command Injection. WAF wykorzystuje zarówno czarne jak i białe listy, sygnatury i analizę anomalii. Popularny WAF Open Source to ModSecurity (dla systemów linuksowych) dla którego stowarzyszenie OWASP przygotowalo zestaw bazowych reguł (CRS): https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project. Podobnie dla popularnych systemów CMS (WordPress, Joomla, Drupal) deweloperzy przygotowali dedykowane aplikacje pełniące rolę WAF. WAF to system obowiązkowy dla każdej firmy.

7.MDM/EMDM – Enterprise / Mobile Device Management

Czyli system do zarządzania urządzeniami mobilnymi. System MDM wymusza używanie haseł do urządzeń przenośnych, ich szyfrowanie, umożliwia zdalną konfigurację urządzeń mobilnych. Jednocześnie MDM pozwala na wykrywanie rootowania urządzeń (Jailbreak), umożliwia wykrywanie malware i zarządzanie konfiguracją VPN oraz WiFi na końcówkach klienckich. W przypadku zagubienia urządzenia MDM umożliwia śledzenie lokalizacji urządzenia względnie zdalne, bezpieczne skasowanie danych (wipe). Zcentralizowana administracja urządzeniami przenośnymi umożliwia administratorom definiowanie grup urządzeń i przypisywania im odpowiednich polityk bezpieczeństwa. W przypadku pojawienia się problemów z urządzeniem przenośnym administrator jest w stanie zdiagnozować jego źródło.

8.MIP – Machine Identity Protection

Czyli system ochrony tożsamości urządzeń, widać tu podobieństwo do systemów IAM, PAM. W odróżnieniu od systemów IAM czy PAM które są skupione na ludziach, MIP jest ukierunkowany na ochronę maszyn (serwery, aplikacje, IoT, inne) i połączeń pomiędzy nimi. System służy do przechowywania i zarządzania kluczami kryptograficznymi (np. SSH) i certyfikatami SSL oraz automatyzacji w ich zastosowaniach. Ma to szczególne znaczenie w przypadku korporacji i biznesów chmurowych (Cloud Computing). Tożsamość każdej maszyny i komunikacji pomiędzy maszynami jest weryfikowana za pomocą kluczy kryptograficznych. Bezpieczne zarządzanie tożsamością urządzeń i połączeń między nimi (za pomocą kluczy kryptograficznych) wymaga automatyzacji, która pozwala uniknąć części ludzkich błędów. Centralna konsola do zarządzania tożsamością urządzeń umożliwia szybką weryfikację skompromitowanych maszyn lub połączeń. Dodatkowo ułatwia audytowanie całej infrastruktury firmowej jak i szybkim wdrażaniem polityk bezpieczeństwa. Więcej o MIP: https://www.venafi.com/sites/default/files/2018-07/Forrester%20Machine%20Identity%20Protection%20White%20Paper.pdf

9.SIG/SWG – Secure Internet/Web Gateway

Czyli bezpieczna bramka internetowa. Może występować w postaci sprzętu lub jako rozwiązanie oferowane w chmurze, umożliwia również instalowanie agentów na komputerach i smartfonach użytkowników. Zapewnia filtrowanie IP, URLi, DNS, inspekcję zaszyfrowanego ruchu wykorzystującego SSL i SSH, umożliwia stosowanie polityk bezpieczeństwa wobec aplikacji webowych. Zawiera funkcje firewalla, serwera proxy, często DLP. Funkcjonalności zawierają separowanie plików wykonywalnych w sandboksie.

Umożliwia kontrolę wszystkich portów i protokołów oraz inspekcję plików przy pomocy antywirusa (AV), dzięki czemu zapewnia filtrowanie maili, co przekłada się na wyższe bezpieczeństwo.. Potrafi wykrywać i kontrolować aplikacje w modelu SaaS. Starsza wersja (Secure Web Gateway) filtrowała ruch na portach 80 i 443, nowa (SIG) na wszystkich portach. Systemy SIG pomagają w bardziej skutecznym stopniu w wykrywaniu malware (wykrywanie złośliwego kodu) i serwerów C&C, w przypadku odwoływania się do serwerów poprzez adresy IP a nie poprzez serwery DNS. Systemy SIG często współpracują z rozwiązaniami oferowanymi przez Cloud Access Security Brokers w celu efektywnej ochrony danych w chmurach. To rozwiązanie szczególnie przydatne w środowisku zawierającym urządzenia IoT (Internet of Things).

Podsumowanie

Wszystkie rozwiązania i urządzenia wymagają odpowiedniej konfiguracji, utrzymania i zarządzania przez wykwalifikowanych inżynierów. Mocno zalecane dodatkowe uwierzytelnienie administratorów przy wykorzystaniu składników MFA/2FA (Multi Factor Authentication), najbardziej znane to tokeny Yubico. Czy brakuje Ci innych rozwiązań zapewniających bezpieczeństwo sieci? Przeczytaj poprzedni wpis: https://itring.pl/2019/04/29/wsparcie-it/bezpieczenstwo-sieci/rozwiazania-urzadzenia-1/  lub podaj nazwę urządzenia, rozwiązania w komentarzu.