Средства защиты второго эшелона
изменение инфраструктуры ИБ после ухода с рынка иностранных производителей
STEP LOGIC с 1992 года повышает эффективность бизнеса заказчиков, внедряя высококачественные инновационные ИТ-решения и услуги.
С 2006 года
Помогаем защищать данные наших клиентов
«Под ключ»
Полный цикл работ и проекты любой сложности
Более 300
Успешно реализованных крупных проектов
Текущее состояние иностранных средств защиты
Принципы построения базовой защиты периметра сети на основе иностранных средств (UTM/NGFW)
— Протоколы динамической маршрутизации (BGP, OSPF) для интеграции в сеть компании
— Межсетевое экранирование с контролем состояния соединений (Stateful Firewall) между общедоступными (Интернет), корпоративными сегментами и сегментами DMZ
— Контроль приложений (Application Control, DPI) по категориям и отдельным приложениям
— Обнаружение вторжений (IPS)
— Веб-фильтрация (URL Filtering) трафика по категориям и отдельным ресурсам
— Защита от целенаправленных атак (Antivirus, Anti-Botnet, Sandbox)
— Расшифровка SSL/TLS-трафика
— VPN-туннели между офисами компании (Site-to-site VPN)
— Организация удаленного доступа сотрудников посредством Remote Access VPN
— Обновление ПО и сигнатур оборудования с серверов производителя, расположенных за рубежом
— Часть сервисов работает в «облаке» производителя (например, облачная «песочница», URL-фильтрация по категориям и т.п.)
— Межсетевое экранирование с контролем состояния соединений (Stateful Firewall) между общедоступными (Интернет), корпоративными сегментами и сегментами DMZ
— Контроль приложений (Application Control, DPI) по категориям и отдельным приложениям
— Обнаружение вторжений (IPS)
— Веб-фильтрация (URL Filtering) трафика по категориям и отдельным ресурсам
— Защита от целенаправленных атак (Antivirus, Anti-Botnet, Sandbox)
— Расшифровка SSL/TLS-трафика
— VPN-туннели между офисами компании (Site-to-site VPN)
— Организация удаленного доступа сотрудников посредством Remote Access VPN
— Обновление ПО и сигнатур оборудования с серверов производителя, расположенных за рубежом
— Часть сервисов работает в «облаке» производителя (например, облачная «песочница», URL-фильтрация по категориям и т.п.)
Проблемы при использовании иностранных средств защиты после введения санкций и ограничений
Возникают на фоне возросшего числа целенаправленных атак на ресурсы компаний во всех отраслях экономики.
— Отсутствие обновления баз данных средств защиты (сигнатуры антивируса, предотвращение вторжений, анти-спам и т.п.)
— Отключение облачных компонентов средств защиты (облачная «песочница», контроль DNS- и URL-категорий, облачных серверов управления и сбора событий и т.п.)
— Отключение лицензируемых функций средства защиты
— Полная потеря контроля над устройством
— Недоступность обновлений ПО для устранения багов и получения нового функционала
— Недоступность технической поддержки от производителя
— Блокировка доступа к порталу вендора для просмотра базы знаний и документации
— Невозможность приобретения продления подписок и технической поддержки, модулей расширения, оборудования в ЗИП
— Невозможность замены вышедшего из строя оборудования
— Наличие «закладок» от производителя, которыми он может поделиться с иностранными спецслужбами
— Отсутствие обновления баз данных средств защиты (сигнатуры антивируса, предотвращение вторжений, анти-спам и т.п.)
— Отключение облачных компонентов средств защиты (облачная «песочница», контроль DNS- и URL-категорий, облачных серверов управления и сбора событий и т.п.)
— Отключение лицензируемых функций средства защиты
— Полная потеря контроля над устройством
— Недоступность обновлений ПО для устранения багов и получения нового функционала
— Недоступность технической поддержки от производителя
— Блокировка доступа к порталу вендора для просмотра базы знаний и документации
— Невозможность приобретения продления подписок и технической поддержки, модулей расширения, оборудования в ЗИП
— Невозможность замены вышедшего из строя оборудования
— Наличие «закладок» от производителя, которыми он может поделиться с иностранными спецслужбами
Возникают на фоне возросшего числа целенаправленных атак на ресурсы компаний во всех отраслях экономики.
— Отсутствие обновления баз данных средств защиты (сигнатуры антивируса, предотвращение вторжений, анти-спам и т.п.)
— Отключение облачных компонентов средств защиты (облачная «песочница», контроль DNS- и URL-категорий, облачных серверов управления и сбора событий и т.п.)
— Отключение лицензируемых функций средства защиты — Полная потеря контроля над устройством
— Недоступность обновлений ПО для устранения багов и получения нового функционала
— Недоступность технической поддержки от производителя
— Блокировка доступа к порталу вендора для просмотра базы знаний и документации
— Невозможность приобретения продления подписок и технической поддержки, модулей расширения, оборудования в ЗИП
— Невозможность замены вышедшего из строя оборудования
— Наличие «закладок» от производителя, которыми он может поделиться с иностранными спецслужбами
— Отключение облачных компонентов средств защиты (облачная «песочница», контроль DNS- и URL-категорий, облачных серверов управления и сбора событий и т.п.)
— Отключение лицензируемых функций средства защиты — Полная потеря контроля над устройством
— Недоступность обновлений ПО для устранения багов и получения нового функционала
— Недоступность технической поддержки от производителя
— Блокировка доступа к порталу вендора для просмотра базы знаний и документации
— Невозможность приобретения продления подписок и технической поддержки, модулей расширения, оборудования в ЗИП
— Невозможность замены вышедшего из строя оборудования
— Наличие «закладок» от производителя, которыми он может поделиться с иностранными спецслужбами
— Протоколы динамической маршрутизации (BGP, OSPF) для интеграции в сеть компании
— Межсетевое экранирование с контролем состояния соединений (Stateful Firewall) между общедоступными (Интернет), корпоративными сегментами и сегментами DMZ
— Контроль приложений (Application Control, DPI) по категориям и отдельным приложениям — Обнаружение вторжений (IPS)
— Веб-фильтрация (URL Filtering) трафика по категориям и отдельным ресурсам
— Защита от целенаправленных атак (Antivirus, Anti-Botnet, Sandbox)
— Расшифровка SSL/TLS-трафика
— VPN-туннели между офисами компании (Site-to-site VPN)
— Организация удаленного доступа сотрудников посредством Remote Access VPN
— Обновление ПО и сигнатур оборудования с серверов производителя, расположенных за рубежом
— Часть сервисов работает в «облаке» производителя (например, облачная «песочница», URL-фильтрация по категориям и т.п.)
— Межсетевое экранирование с контролем состояния соединений (Stateful Firewall) между общедоступными (Интернет), корпоративными сегментами и сегментами DMZ
— Контроль приложений (Application Control, DPI) по категориям и отдельным приложениям — Обнаружение вторжений (IPS)
— Веб-фильтрация (URL Filtering) трафика по категориям и отдельным ресурсам
— Защита от целенаправленных атак (Antivirus, Anti-Botnet, Sandbox)
— Расшифровка SSL/TLS-трафика
— VPN-туннели между офисами компании (Site-to-site VPN)
— Организация удаленного доступа сотрудников посредством Remote Access VPN
— Обновление ПО и сигнатур оборудования с серверов производителя, расположенных за рубежом
— Часть сервисов работает в «облаке» производителя (например, облачная «песочница», URL-фильтрация по категориям и т.п.)
Защита периметра с применением российских средств
Особенности зарубежных средств защиты
— Производительность иностранного оборудования выше отечественных аналогов
— Качество сборки зарубежных устройств, уровень надежности их компонентов выше российских, с ними меньше проблем со сбоями в аппаратной части
— Функциональные возможности импортного оборудования богаче отечественного (поддерживается больше протоколов, больше функций реализовано внутри протоколов и т.п.)
— Качество сборки зарубежных устройств, уровень надежности их компонентов выше российских, с ними меньше проблем со сбоями в аппаратной части
— Функциональные возможности импортного оборудования богаче отечественного (поддерживается больше протоколов, больше функций реализовано внутри протоколов и т.п.)
Причины замены иностранного оборудования на российское
— Реальное или потенциальное отключение функций защиты в связи с отзывом лицензии производителем
— Возможное наличие «закладки» в оборудовании, эксплуатация которой может повлечь риски информационной безопасности организации
— Возможное наличие «закладки» в оборудовании, эксплуатация которой может повлечь риски информационной безопасности организации
Рекомендации
– Оставить на зарубежном оборудовании весь функционал, который не требует лицензирования и будет работать даже в худшем сценарии
– при полном отзыве лицензии производителем. Это базовый функционал, не требующий периодического обновления ПО оборудования для устранения проблем в его работе
— На отечественные устройства перенести весь функционал, который не работает без лицензии на оборудовании иностранного производства
— Установить российское оборудование между зарубежными устройствами и сетями общего пользования для контроля трафика, инициируемого иностранной продукцией
– при полном отзыве лицензии производителем. Это базовый функционал, не требующий периодического обновления ПО оборудования для устранения проблем в его работе
— На отечественные устройства перенести весь функционал, который не работает без лицензии на оборудовании иностранного производства
— Установить российское оборудование между зарубежными устройствами и сетями общего пользования для контроля трафика, инициируемого иностранной продукцией
После модернизации
На иностранных средствах защиты:
— протоколы динамической маршрутизации (BGP, OSPF);
— межсетевое экранирование с контролем состояния соединений (Stateful Firewall); — контроль приложений (Application Control, DPI)
— межсетевое экранирование с контролем состояния соединений (Stateful Firewall); — контроль приложений (Application Control, DPI)
На отечественном оборудовании на периметре сети:
— межсетевое экранирование с контролем состояния соединений (Stateful Firewall) между общедоступными (Интернет), корпоративными сегментами и сегментами DMZ;
— контроль приложений (Application Control, DPI) по категориям и отдельным приложениям;
— обнаружение вторжений (IPS);
— веб-фильтрация (URL Filtering) трафика по категориям и отдельным ресурсам;
— расшифровка SSL/TLS-трафика.
Функционал организации удаленного доступа сотрудников (Remote Access VPN) переносится на отдельные устройства, размещаемые в сегменте DMZ.
— контроль приложений (Application Control, DPI) по категориям и отдельным приложениям;
— обнаружение вторжений (IPS);
— веб-фильтрация (URL Filtering) трафика по категориям и отдельным ресурсам;
— расшифровка SSL/TLS-трафика.
Функционал организации удаленного доступа сотрудников (Remote Access VPN) переносится на отдельные устройства, размещаемые в сегменте DMZ.
Защита от целенаправленных атак с использованием российских средств
Функционал защиты от целенаправленных атак реализуется на иностранных средствах через отправку информации с UTM/NGFW на анализ в «песочницу» (размещенную в облаке вендора или на площадке организации), а также с использованием иных средств обнаружения подобных атак (специализированные сигнатуры IPS, Anti-bot, C2, Antivirus). Российские UTM, как правило, штатно не содержат полноценного функционала по защите от целевых атак. На отечественном рынке производством UTM-решений и средств защиты от целевых атак занимаются разные компании.
Полноценную защиту от целевых атак позволяют обеспечить отечественные средства класса XDR.
Полноценную защиту от целевых атак позволяют обеспечить отечественные средства класса XDR.
Архитектура XDR
На уровне сети сенсоры XDR (NTA, NDR) получают информацию о трафике на периметре сети и в сегментах КСПД/ЦОД с использованием SPAN, ICAP, SSL Mirroring. Данный трафик проверяется на наличие признаков нарушителя в сети с помощью сигнатурных и поведенческих движков. Обнаруженные в трафике файлы и URLссылки отправляю «песочницу»
«Песочница» XDR (Sandbox) получает файлы и URL на проверку от сетевых сенсоров и агентов на хостах, проверяет их сигнатурными, поведенческими движками, а также выполняет их запуск в изолированной среде с детальной инспекцией и журналированием действий, вызванных запущенным файлом.
На уровне хостов устанавливаются агенты XDR (EDR). Агенты собирают с хостов телеметрию (события безопасности, информацию о процессах, работе с файлами и реестром, сетевом трафике), обнаруживают в трафике подозрительную активность, применяют при необходимости действия по реагированию на угрозу, отправляют подозрительные файлы и URL на проверку в «песочницу»
Центральный узел XDR объединяет все компоненты XDR в единую систему и предоставляет интерфейс управления для администраторов и операторов системы
Прокси-серверы с функциями безопасности, обеспечивающие защиту пользовательского вебтрафика. Применяются в связи с тем, что данный функционал требует много вычислительных ресурсов, и возможностей даже самых мощных UTM-решений часто не хватает для его полноценной реализации, поэтому он может быть вынесен на отдельные специализированные решения. SWG обеспечивают URL-фильтрацию по категориям, антивирусную защиту, расшифровку SSL.
Обеспечивает защиту веб-серверов при их публикации в сети общего пользования. Реализует функционал обратного прокси-сервера, расширенные варианты аутентификации, расшифровку SSL, специализированную защиту от атак на веб-приложения
Secure Web Gateway (SWG)
Web application firewall (WAF)
Дополнительные российские средства защиты
Средства защиты электронной почты, обеспечивающие защиту от спама, вирусов и других атак, направленных на электронную почту
Решения данного класса являются развитием технологии Honeypot, реализуют распределенную инфраструктуру ложных целей – приманок для злоумышленников. При попытке атаки на хостприманку или попытке использования информации-обманки, распределенной по корпоративной сети, злоумышленник раскрывает себя, что позволяет сотрудникам безопасности оперативно устранить угрозу.
Secure Mail Gateway (SMG)
Distributed Deception Platform (DDP)
Схема
