Средства защиты
второго эшелона
Как изменить инфраструктуру информационной безопасности, чтобы максимально использовать сильные стороны оборудования иностранного производства, избежав при этом потенциальных рисков при его эксплуатации
Базовая защита периметра сети на основе UTM/NGFW-решений иностранного производства строится с использованием следующих функций:
— Протоколы динамической маршрутизации (BGP, OSPF) для интеграции в сеть компании
— Межсетевое экранирование с контролем состояния соединений (Stateful Firewall) между общедоступными (Интернет), корпоративными сегментами и сегментами DMZ
— Контроль приложений (Application Control, DPI) по категориям и отдельным приложениям
— Обнаружение вторжений (IPS)
— Веб-фильтрация (URL Filtering) трафика по категориям и отдельным ресурсам
— Защита от целенаправленных атак (Antivirus, Anti-Botnet, Sandbox)
— Расшифровка SSL/TLS-трафика
— VPN-туннели между офисами компании (Site-to-site VPN)
— Организация удаленного доступа сотрудников посредством Remote Access VPN
— Обновление ПО и сигнатур оборудования с серверов производителя, расположенных за рубежом
— Часть сервисов работает в «облаке» производителя (например, облачная «песочница», URL-фильтрация по категориям и т.п.)
При этом современные UTM/NGFW-решения требуют постоянного обращения к иностранным облачным сервисам
— обновление программного обеспечения и сигнатур оборудования производятся с серверов производителя, расположенных за рубежом;
— часть сервисов работает в «облаке» производителя (например, облачная «песочница», URL-фильтрация по категориям и т.п.).
— Отсутствие обновления баз данных средств защиты (сигнатуры антивируса, предотвращение вторжений, анти-спам и т.п.)
— Отключение облачных компонентов средств защиты (облачная «песочница», контроль DNS- и URL-категорий, облачных серверов управления и сбора событий и т.п.)
— Отключение лицензируемых функций средства защиты
— Полная потеря контроля над устройством
— Недоступность обновлений ПО для устранения багов и получения нового функционала
— Недоступность технической поддержки от производителя
— Блокировка доступа к порталу вендора для просмотра базы знаний и документации
— Невозможность приобретения продления подписок и технической поддержки, модулей расширения, оборудования в ЗИП
— Невозможность замены вышедшего из строя оборудования
— Наличие «закладок» от производителя, которыми он может поделиться с иностранными спецслужбами
Защита периметра с применением российских средств
Рекомендации по снижению рисков эксплуатации иностранного оборудования
– Оставить на зарубежном оборудовании весь функционал, который не требует лицензирования и будет работать даже в худшем сценарии
– при полном отзыве лицензии производителем. Это базовый функционал, не требующий периодического обновления ПО оборудования для устранения проблем в его работе
— На отечественные устройства перенести весь функционал, который не работает без лицензии на оборудовании иностранного производства
— Установить российское оборудование между зарубежными устройствами и сетями общего пользования для контроля трафика, инициируемого иностранной продукцией
В свою очередь на устанавливаемое на периметре сети оборудование российского производства переносятся функции межсетевого экранирования с контролем состояния соединений (Stateful Firewall) между общедоступными (Интернет), корпоративными сегментами и сегментами DMZ, контроля приложений (Application Control, DPI) по категориям и отдельным приложениям, обнаружения вторжений (IPS), веб-фильтрации (URL Filtering) трафика по категориям и отдельным ресурсам и расшифровки SSL/TLS трафика. А организация удаленного доступа сотрудников (Remote Access VPN) осуществляется посредством отдельных устройств в демилитаризованной зоне сети.
Защита от целенаправленных атак с использованием российских средств
Российские UTM, как правило, не содержат полноценного функционала APT, так как на нашем рынке производством UTM-решений и средств защиты от целевых атак занимаются разные компании.
Более надежную защиту от целевых атак позволяют обеспечить отечественные средства класса XDR.
- На уровне сети сенсоры XDR (NTA, NDR) получают информацию о трафике на периметре сети и в сегментах КСПД/ЦОД с использованием SPAN, ICAP, SSL Mirroring. Данный трафик проверяется на наличие признаков нарушителя в сети с помощью сигнатурных и поведенческих движков. Обнаруженные в трафике файлы и URLссылки отправляю «песочницу»
- На уровне хостов устанавливаются агенты XDR (EDR). Агенты собирают с хостов телеметрию (события безопасности, информацию о процессах, работе с файлами и реестром, сетевом трафике), обнаруживают в трафике подозрительную активность, применяют при необходимости действия по реагированию на угрозу, отправляют подозрительные файлы и URL на проверку в «песочницу»
- «Песочница» XDR (Sandbox) получает файлы и URL на проверку от сетевых сенсоров и агентов на хостах, проверяет их сигнатурными, поведенческими движками, а также выполняет их запуск в изолированной среде с детальной инспекцией и журналированием действий, вызванных запущенным файлом.
- Центральный узел XDR объединяет все компоненты XDR в единую систему и предоставляет интерфейс управления для администраторов и операторов системы
Дополнительные российские средства защиты
