Если сравнивать решения UTM/NGFW российского и зарубежного производства, то последние, как правило, будут иметь ряд преимуществ:
· производительность зарубежного оборудования превосходит отечественные аналоги;
Вероятность аппаратных отказов зарубежных устройств ниже, чем у отечественных за счет высокого качества сборки и уровня надежности комплектующих;
функционал импортного оборудования богаче отечественного (поддерживается больше протоколов, больше функций реализовано внутри протоколов и т.д.)
Однако в ситуации, когда риски деактивации защитных функций из-за отзыва лицензии производителем или блокировки подключений с IP-адресов РФ значительно возросли, все более актуальным становится вопрос о замене оборудования иностранного производства на российское. более срочно.
В этой статье мы увидим, как модифицировать инфраструктуру информационной безопасности, чтобы максимально использовать сильные стороны оборудования иностранного производства, избегая при этом потенциальных рисков, связанных с их эксплуатацией.
Contents
- 1 Текущее состояние защиты сетевого периметра на базе решений UTM/NGFW зарубежного производства
- 2 Внедрение защиты периметра с использованием российских средств безопасности
- 3 Установка защиты от целевых атак с использованием российских средств защиты
- 4 Дополнительные защиты для создания второго уровня
- 5 Примеры российских средств защиты для создания второго уровня
- 6 выводы
Текущее состояние защиты сетевого периметра на базе решений UTM/NGFW зарубежного производства
Базовая защита сетевого периметра на базе решений UTM/NGFW зарубежного производства строится с использованием следующих функций:
-
для сетевой интеграции используются протоколы динамической маршрутизации (BGP, OSPF);
-
межсетевой экран с отслеживанием состояния выполняется между общедоступным (интернет), корпоративным и DMZ-сегментами;
-
Контроль приложений (DPI) осуществляется по категориям и отдельным приложениям;
-
выполняется обнаружение вторжений (IPS);
-
осуществляется веб-фильтрация (URL-фильтрация) трафика по категориям и отдельным ресурсам;
-
осуществляется защита от целевых атак (Антивирус, Анти-Ботнет, Песочница);
-
SSL/TLS-трафик расшифровывается;
-
построение VPN-туннелей между офисами компании (Site-to-site VPN), а также организация удаленного доступа для сотрудников (Remote Access VPN).
В то же время современные решения UTM/NGFW требуют постоянного доступа к зарубежным облачным сервисам:
-
обновления программных и аппаратных сигнатур выполняются с серверов производителя, расположенных за границей;
-
некоторые службы работают в «облаке» производителя (например, облачная песочница, фильтрация URL-адресов по категориям и т. д.).
В настоящее время компании сталкиваются с множеством проблем при использовании средств защиты иностранного производства, среди которых:
-
сбой в обновлении баз средств защиты (антивирусные сигнатуры, защита от вторжений, антиспам и т. д.);
-
отключить облачные компоненты средств защиты (облачная песочница, контроль категорий DNS и URL, облачное управление и серверы сбора событий и т. д.);
-
отключить лицензионные функции средства защиты;
-
полная потеря управления самолетом;
-
недоступность обновлений ПО для исправления ошибок и получения новых возможностей;
-
отсутствие технической поддержки производителя;
-
заблокировать доступ к Порталу поставщиков для просмотра базы знаний и документации;
-
невозможность приобретения продлений подписок и техподдержки, модулей расширения, оборудования в запчастях;
-
невозможность замены неисправного оборудования;
-
наличие «закладок» производителя, которыми он может поделиться с иностранными спецслужбами.
Внедрение защиты периметра с использованием российских средств безопасности
Исходя из трудностей, возникающих при замене иностранного оборудования на российские аналоги, оптимальная схема будет следующей:
-
Оборудование иностранного производства сохраняет весь функционал, не требующий лицензии, и будет функционировать даже при самом худшем сценарии полного отзыва лицензии производителем. Как правило, это базовый функционал, который надежно работает и не требует периодических обновлений аппаратного ПО;
-
функционал переносится на отечественные устройства, которые не работают на оборудовании иностранного производства без лицензии;
-
Российское оборудование устанавливается между зарубежными устройствами и сетями общего пользования для контроля трафика, инициированного зарубежными продуктами.
Таким образом, протоколы динамической маршрутизации (BGP, OSPF), межсетевой экран с отслеживанием состояния и контроль приложений (Application Control, DPI) остаются на средствах безопасности иностранного производства.
В свою очередь, оборудование российского производства, установленное по периметру сети, передается на функции межсетевых экранов с контролем состояния соединения (Stateful Firewall) между публичным (Интернет), корпоративным и DMZ-сегментами, контролем приложений (Application Control , DPI) по категориям и отдельным приложениям, обнаружение вторжений (IPS), веб-фильтрация (URL-фильтрация) трафика по категориям и отдельным ресурсам и расшифровка SSL/TLS-трафика. А организация удаленного доступа для сотрудников (Remote Access VPN) осуществляется через отдельные устройства в демилитаризованной зоне сети.
Установка защиты от целевых атак с использованием российских средств защиты
Для защиты от целевых атак зарубежные UTM/NGFW отправляли информацию для анализа в «песочницу», размещенную в облаке провайдера или на сайте организации, либо использовали специализированные сигнатуры — IPS, Антибот, С2, Антивирус.
Как правило, российские УТМ не содержат полноценного встроенного APT-функционала, поскольку производством УТМ-решений и средств защиты от целевых атак на нашем рынке занимаются различные компании.
Более надежную защиту от целевых атак могут обеспечить отечественные средства класса XDR, архитектура которых выглядит следующим образом.
-
На сетевом уровне датчики XDR (NTA, NDR) получают информацию о трафике на периметре сети и в сегментах KSPD/DPC с использованием SPAN, ICAP, зеркалирования SSL. Этот трафик проверяется на наличие признаков злоумышленника в сети с помощью сигнатурных и поведенческих движков. Файлы и URL-адреса, обнаруженные в трафике, отправляются в песочницу (облачную или локальную) для проверки, а также в облако производителя для проверки хэшей файлов и URL-адресов в базе данных Threat Intelligence.
-
Агенты XDR (EDR) устанавливаются на уровне хоста. Агенты собирают телеметрию с хостов (события безопасности, информация о процессах, работа с файлами, реестром, сетевым трафиком), выявляют подозрительную активность в трафике, при необходимости применяют действия по реагированию на угрозы (изоляция хоста, сбор криминалистической информации для последующего анализа), отправляют подозрительные файлы и URL-адреса для песочницы.
-
«Песочница» XDR (Sandbox) получает файлы и URL для проверки от сетевых сенсоров и агентов на хостах, проверяет их сигнатурными, поведенческими движками, а также запускает их в изолированной среде с детальной проверкой и протоколированием действий, вызванных запущенным файлом .
-
Центральный узел объединяет все компоненты XDR в единую систему и предоставляет интерфейс управления для администраторов и системных операторов.
Дополнительные защиты для создания второго уровня
Для повышения общего уровня безопасности инфраструктуры мы рекомендуем добавлять к базовым решениям (UTM, XDR) дополнительные специализированные средства защиты.
-
Secure Web Gateway (SWG) — прокси-серверы с функциями безопасности, защищающие веб-трафик пользователей, что требует много ИТ-ресурсов, поэтому для его полной реализации часто не хватает возможностей самых мощных российских UTM-решений. SWG обеспечивают фильтрацию URL по категориям, антивирусную защиту, расшифровку SSL, контроль передаваемого контента.
-
Secure Mail Gateway (SMG) — инструменты безопасности электронной почты, обеспечивающие защиту от спама, фишинга, вирусов и других атак.
-
Брандмауэр веб-приложений (WAF) — обеспечивает защиту веб-серверов при публикации в общедоступной сети. В них реализован функционал обратного прокси-сервера, расширенные возможности аутентификации, расшифровка SSL, специализированная защита от атак на веб-приложения.
-
Платформа распределенного обмана (DDP) — решения, построенные на основе технологии Honeypot, реализуют распределенную инфраструктуру ложных целей, которые являются приманкой для злоумышленника. При попытке провести атаку на ложную цель или с использованием ложной информации злоумышленник раскрывает себя, что позволяет сотрудникам службы безопасности быстро устранить угрозу.
Примеры российских средств защиты для создания второго уровня
выводы
Используя комплексный подход к созданию второго уровня защиты с помощью российских средств, можно получить аналогичный, а зачастую и превосходящий UTM/NGFW-решения зарубежного производства уровень защиты инфраструктуры.
Такой подход также снижает эксплуатационные расходы, связанные с закупленным ранее зарубежным оборудованием, поскольку существующие зарубежные решения UTM/NGFW остаются в инфраструктуре для управления трафиком между внутренними сегментами сети.
Автор:
Вячеслав Монахов, Начальник отдела системной инженерии STEP LOGIC
Виктор Колосов, системный архитектор комплексных проектов информационной безопасности STEP LOGIC
