Безопасность периметра сети - качественный МСЭ или как клиент понял, что у него сеть "дырявая"
Безопасность периметра сети является одним из ключевых аспектов обеспечения защиты информации и данных организации - ну куда же пойдешь с дырявым забором? Поэтому без межсетевого экрана никуда! А совсем недавно мы столкнулись с интересным кейсом.
Один из клиентов решил обновить свою систему безопасности, и мы взялись за настройку нового устройства Next-Generation Firewall (NGFW) на периметре сети. В первые же дни NGFW показал не только предсказуемую картину, которая раньше оставалась в тени - атаки со стороны Интернет, но и интересную картину по подозрительному трафику изнутри сети, которому сначала не придали значения.
Через несколько дней у одного из сотрудников офиса начали появляться проблемы с доступом к определенным ресурсам в интернете. Пользователь утверждал, что NGFW блокирует ему доступ к необходимым сайтам, несмотря на то, что “раньше все работало без проблем”!
После более детального изучения выяснили, что сотрудник случайно (как всегда - ведь по-другому еще ни разу никто не признавался, что просто был невнимателен и сознательно заразился вирусом!) скачал на свой рабочий компьютер вредоносное ПО, которое начало пытаться передавать информацию своим “хозяевам” на внешние серверы. NGFW распознал эту активность как потенциально вредоносную и заблокировал доступ пользователя (как мера активного реагирования), спасая тем самым организацию от возможной утечки данных и последующей компрометации.
В результате было принято решение по детальному анализу активности на рабочем компьютере сотрудника, удаления вредоносного ПО и введения дополнительных мер безопасности, чтобы предотвратить подобные инциденты в будущем. Дополнение механизмов защиты системами awareness, песочницей под защиту почты и др. еще впереди, но NGFW на периметре(!) сети сыграл ключевую роль в защите информационной безопасности компании и предотвращении серьезного инцидента.
Время прочтения 6 минут
1) Защитите инфраструктурные сервисы на периметре
- Используйте выделенное решение для защиты почты. Это означает, что вашей организации следует использовать специализированное программное обеспечение или сервис для защиты электронной почты от спама, фишинга, а также проверять вложения и ссылки на предмет их заражений (делать это можно в “песочнице” - про это ниже).
- Используйте выделенное решение для защиты Web сервисов. Специальный Web Application Firewall (WAF), детектирующий основные виды атак именно на веб.сервисы, защита от ботов, защита от DDoS (атак класса “отказ в обслуживании”). Последнее лучше всего использовать как сервис оператора связи.
- Система инвентаризации (сканирования) периметра и обнаружения уязвимостей - External Attack Surface Management. Лучше всего использовать готовую платформу и получать уведомления об отклонениях/обнаружении новых неизвестных сервисов, доступных со стороны интернета (будь то сервер, каталог или доменное имя).
2) Защитите пользователей от Интернета и сегментируйте сеть
- Контролируйте трафик пользователей на базе периметрового шлюза NGFW (МСЭ нового поколения, который умеет разбирать протоколы и распознавать разных пользователей).
- Включите HTTPS инспекцию. HTTPS (HyperText Transfer Protocol Secure) — это защищённый протокол передачи данных, который обеспечивает шифрование трафика между клиентом и сервером. HTTPS инспекция позволяет проверять даже зашифрованный трафик на наличие вредоносных программ и других угроз.
- Для пользователей блокируйте нежелательные ресурсы. Это означает, что ваша система безопасности блокирует доступ к определённым веб-сайтам и другим ресурсам, которые могут представлять угрозу для вашей сети.
- Блокируйте скачивание исполняемых (или других подозрительных) файлов без проверки. Исполняемые файлы — это файлы, которые могут запускать программы на вашем компьютере. Блокировка скачивания таких файлов помогает предотвратить распространение вредоносного программного обеспечения.
- Выполните интеграцию с «песочницей». Песочница — это изолированная среда, в которой можно запускать подозрительные файлы и программы, чтобы проверить их на наличие вредоносного кода. Интеграция с песочницей позволяет автоматически проверять файлы, загружаемые пользователями, на наличие угроз.
- Используйте контроль приложений (Application Control), модули антивируса и IPS (Intrusion Prevention System) — это позволит различать программы и потоки данных от них, при этом выделять в трафике попытки атак и вторжений и блокировать их. На базе этих модулей можно создать матрицу доступа для работы пользователей, прописав только те приложения и данные, с которыми им разрешено работать.
- Примените политику фильтрации на основе географических фильтров (Geo Policy). С учетом современных реалий фильтрация по адресам стран и регионов может существенно упростить защиту сети от атак.
- Разграничьте доступ между сегментами сети даже внутри сети с помощью межсетевого экрана, который контролирует потоки данных.
3) Организуйте безопасный удаленный доступ
- Публикуйте приложения на МСЭ только через инструменты проксирования (proxy) с дополнительным контролем подключений и защитой.
- Используйте защищенный доступ - VPN , PAM системы, чтобы публиковать сервисы для удаленных пользователей, не делайте это напрямую.
- Используйте двухфакторную аутентификацию на случай кражи или компрометации пароля пользователя.
- Проверяйте, что подключающиеся пользователи соответствуют минимальным требованиям политики безопасности в частности защиты рабочих мест (NAC = Network Admission Control) в рамках концепции Zero Trust Access (доступ с нулевым уровнем доверия).
Подробнее об удаленном доступе и важные аспекты его защиты “на коленке” мы писали в статье “Как безопасно(!) работать с подрядчиками”.
4) Следите, чтобы всегда был мониторинг и реагирование
- Анализируйте журналы работы средств защиты (обычно на базе SIEM платформы или аналогичной) на предмет ложных срабатываний и выявления аномалий. False positive — это ложное уведомление системы безопасности, когда она ошибочно идентифицирует безопасный трафик как угрозу. Анализ логов, докрутка правил фильтрации, позволяет выявлять и устранять false positive, чтобы минимизировать нагрузку на дежурных специалистов, а также ускорить разбор инцидентов безопасности.
- Запланируйте регулярные проверки. Регулярные проверки позволяют убедиться, что ваша система безопасности работает эффективно и предотвращает потенциальные угрозы. Как минимум надо проверять, что работают как сами СЗИ (средства защиты), так и интерфейсы между ними (отправляют журналы, есть интеграция МСЭ и песочницы и т.д.)
- Используйте NTA/NDR решение. NTA (Network Traffic Analysis) и NDR (Network Detection and Response) — это технологии, которые анализируют сетевой трафик и обнаруживают аномалии и угрозы. Подобные платформы используются вместо NGFW или совместно с ними как второй уровень контроля, чтобы оперативно выявлять попытки кибератак и выигрывать время для своевременного предотвращения их последствий.
5) Не пренебрегайте обучением пользователей!
- Есть мнение, что безопасность должна быть “социоцентричной” - то есть ориентирована на людей. Мы придерживаемся этого же мнения. Сотрудники должны знать, что можно, а что нельзя, необходимо вкладываться в их обучение. Как минимум должны быть понятные регламенты работы.
- Программа повышения осознанности сотрудников в вопросах информационной безопасности (awareness) необходима, чтобы снизить зависимость компании от случайных инцидентов на местах, усилить самое слабое и уязвимое звено (сотрудников). Делается это как учебными теоретическими курсами, так и практическими тестами на усвоение материала и распознавание социотехнических атак (фишинга).
Безопасность периметра сети является критически важным элементом для защиты информации и данных организации от угроз. Современные средства безопасности, такие как NGFW, обеспечивают комплексную защиту от различных типов атак и сетевых угроз. Развертывание NGFW поможет повысить безопасность сети и сократить риски утечки данных, сохраняя целостность и конфиденциальность информации. Поэтому важно инвестировать в современные технологии безопасности периметра сети для обеспечения защиты от постоянно возрастающих киберугроз.
Технологии и решения в информационной безопасности - сложная и тяжелая тема, разбираться в которой самостоятельно может быть долго и непродуктивно. Именно поэтому мы предлагаем вам бесплатную экспертную консультацию, которая даст вам конкретные шаги для организации надежной защиты данных.