Гладиаторы - меню
Гладиаторы - меню

Безопасность периметра сети - качественный МСЭ или как клиент понял, что у него сеть "дырявая"

Безопасность периметра сети является одним из ключевых аспектов обеспечения защиты информации и данных организации - ну куда же пойдешь с дырявым забором? Поэтому без межсетевого экрана никуда! А совсем недавно мы столкнулись с интересным кейсом.


Один из клиентов решил обновить свою систему безопасности, и мы взялись за настройку нового устройства Next-Generation Firewall (NGFW) на периметре сети. В первые же дни NGFW показал не только предсказуемую картину, которая раньше оставалась в тени - атаки со стороны Интернет, но и интересную картину по подозрительному трафику изнутри сети, которому сначала не придали значения.


Через несколько дней у одного из сотрудников офиса начали появляться проблемы с доступом к определенным ресурсам в интернете. Пользователь утверждал, что NGFW блокирует ему доступ к необходимым сайтам, несмотря на то, что “раньше все работало без проблем”!


После более детального изучения выяснили, что сотрудник случайно (как всегда - ведь по-другому еще ни разу никто не признавался, что просто был невнимателен и сознательно заразился вирусом!) скачал на свой рабочий компьютер вредоносное ПО, которое начало пытаться передавать информацию своим “хозяевам” на внешние серверы. NGFW распознал эту активность как потенциально вредоносную и заблокировал доступ пользователя (как мера активного реагирования), спасая тем самым организацию от возможной утечки данных и последующей компрометации.


В результате было принято решение по детальному анализу активности на рабочем компьютере сотрудника, удаления вредоносного ПО и введения дополнительных мер безопасности, чтобы предотвратить подобные инциденты в будущем. Дополнение механизмов защиты системами awareness, песочницей под защиту почты и др. еще впереди, но NGFW на периметре(!) сети сыграл ключевую роль в защите информационной безопасности компании и предотвращении серьезного инцидента.

Давайте поговорим про методы и технологии, которые помогают обеспечить безопасность периметра сети и предотвратить несанкционированный доступ к сетевым ресурсам. Цель - предоставить конкретный чеклист с рекомендациями, которые необходимо реализовать для обеспечения защиты данных.

1) Защитите инфраструктурные сервисы на периметре
  • Используйте выделенное решение для защиты почты. Это означает, что вашей организации следует использовать специализированное программное обеспечение или сервис для защиты электронной почты от спама, фишинга, а также проверять вложения и ссылки на предмет их заражений (делать это можно в “песочнице” - про это ниже).
  • Используйте выделенное решение для защиты Web сервисов. Специальный Web Application Firewall (WAF), детектирующий основные виды атак именно на веб.сервисы, защита от ботов, защита от DDoS (атак класса “отказ в обслуживании”). Последнее лучше всего использовать как сервис оператора связи.
  • Система инвентаризации (сканирования) периметра и обнаружения уязвимостей - External Attack Surface Management. Лучше всего использовать готовую платформу и получать уведомления об отклонениях/обнаружении новых неизвестных сервисов, доступных со стороны интернета (будь то сервер, каталог или доменное имя).

2) Защитите пользователей от Интернета и сегментируйте сеть
  • Контролируйте трафик пользователей на базе периметрового шлюза NGFW (МСЭ нового поколения, который умеет разбирать протоколы и распознавать разных пользователей).
  • Включите HTTPS инспекцию. HTTPS (HyperText Transfer Protocol Secure) — это защищённый протокол передачи данных, который обеспечивает шифрование трафика между клиентом и сервером. HTTPS инспекция позволяет проверять даже зашифрованный трафик на наличие вредоносных программ и других угроз.
  • Для пользователей блокируйте нежелательные ресурсы. Это означает, что ваша система безопасности блокирует доступ к определённым веб-сайтам и другим ресурсам, которые могут представлять угрозу для вашей сети.
  • Блокируйте скачивание исполняемых (или других подозрительных) файлов без проверки. Исполняемые файлы — это файлы, которые могут запускать программы на вашем компьютере. Блокировка скачивания таких файлов помогает предотвратить распространение вредоносного программного обеспечения.
  • Выполните интеграцию с «песочницей». Песочница — это изолированная среда, в которой можно запускать подозрительные файлы и программы, чтобы проверить их на наличие вредоносного кода. Интеграция с песочницей позволяет автоматически проверять файлы, загружаемые пользователями, на наличие угроз.
  • Используйте контроль приложений (Application Control), модули антивируса и IPS (Intrusion Prevention System) — это позволит различать программы и потоки данных от них, при этом выделять в трафике попытки атак и вторжений и блокировать их. На базе этих модулей можно создать матрицу доступа для работы пользователей, прописав только те приложения и данные, с которыми им разрешено работать.
  • Примените политику фильтрации на основе географических фильтров (Geo Policy). С учетом современных реалий фильтрация по адресам стран и регионов может существенно упростить защиту сети от атак.
  • Разграничьте доступ между сегментами сети даже внутри сети с помощью межсетевого экрана, который контролирует потоки данных.

3) Организуйте безопасный удаленный доступ
  • Публикуйте приложения на МСЭ только через инструменты проксирования (proxy) с дополнительным контролем подключений и защитой.
  • Используйте защищенный доступ - VPN , PAM системы, чтобы публиковать сервисы для удаленных пользователей, не делайте это напрямую.
  • Используйте двухфакторную аутентификацию на случай кражи или компрометации пароля пользователя.
  • Проверяйте, что подключающиеся пользователи соответствуют минимальным требованиям политики безопасности в частности защиты рабочих мест (NAC = Network Admission Control) в рамках концепции Zero Trust Access (доступ с нулевым уровнем доверия).

Подробнее об удаленном доступе и важные аспекты его защиты “на коленке” мы писали в статье “Как безопасно(!) работать с подрядчиками”.

4) Следите, чтобы всегда был мониторинг и реагирование
  • Анализируйте журналы работы средств защиты (обычно на базе SIEM платформы или аналогичной) на предмет ложных срабатываний и выявления аномалий. False positive — это ложное уведомление системы безопасности, когда она ошибочно идентифицирует безопасный трафик как угрозу. Анализ логов, докрутка правил фильтрации, позволяет выявлять и устранять false positive, чтобы минимизировать нагрузку на дежурных специалистов, а также ускорить разбор инцидентов безопасности.
  • Запланируйте регулярные проверки. Регулярные проверки позволяют убедиться, что ваша система безопасности работает эффективно и предотвращает потенциальные угрозы. Как минимум надо проверять, что работают как сами СЗИ (средства защиты), так и интерфейсы между ними (отправляют журналы, есть интеграция МСЭ и песочницы и т.д.)
  • Используйте NTA/NDR решение. NTA (Network Traffic Analysis) и NDR (Network Detection and Response) — это технологии, которые анализируют сетевой трафик и обнаруживают аномалии и угрозы. Подобные платформы используются вместо NGFW или совместно с ними как второй уровень контроля, чтобы оперативно выявлять попытки кибератак и выигрывать время для своевременного предотвращения их последствий.

5) Не пренебрегайте обучением пользователей!
  • Есть мнение, что безопасность должна быть “социоцентричной” - то есть ориентирована на людей. Мы придерживаемся этого же мнения. Сотрудники должны знать, что можно, а что нельзя, необходимо вкладываться в их обучение. Как минимум должны быть понятные регламенты работы.
  • Программа повышения осознанности сотрудников в вопросах информационной безопасности (awareness) необходима, чтобы снизить зависимость компании от случайных инцидентов на местах, усилить самое слабое и уязвимое звено (сотрудников). Делается это как учебными теоретическими курсами, так и практическими тестами на усвоение материала и распознавание социотехнических атак (фишинга).

Безопасность периметра сети является критически важным элементом для защиты информации и данных организации от угроз. Современные средства безопасности, такие как NGFW, обеспечивают комплексную защиту от различных типов атак и сетевых угроз. Развертывание NGFW поможет повысить безопасность сети и сократить риски утечки данных, сохраняя целостность и конфиденциальность информации. Поэтому важно инвестировать в современные технологии безопасности периметра сети для обеспечения защиты от постоянно возрастающих киберугроз.

Технологии и решения в информационной безопасности - сложная и тяжелая тема, разбираться в которой самостоятельно может быть долго и непродуктивно. Именно поэтому мы предлагаем вам бесплатную экспертную консультацию, которая даст вам конкретные шаги для организации надежной защиты данных.

Есть вопросы или запрос на проект по безопасноcти?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности