11.09.2025 12:30
ivpanin 0 362 Источник

Привет, Хабр!

Меня зовут Иван Панин, я специалист в области сетевой безопасности, CCNP, CCNP Security, CCDP, MBA CSO. В ИТ с 2005 года, начинал инженером на заводе, где настраивал свои первые Cisco ASA и ISA Server. С 2010 по 2014 год работал в системном интеграторе, занимался пресейлом и внедрением Fortinet, Palo Alto, Check Point, Stonesoft, Blue Coat, Websense, VipNet, S-Terra и АПКШ Континент. С 2014 по 2022 год — архитектор в Cisco Systems, портфель решений по информационной безопасности, лидер практики IOS Security & VPN для виртуальных инженеров Cisco World Wide. С 2022 года — руководитель группы развития решений по инфраструктурной безопасности «Лаборатории Касперского», где занимаюсь экспертной технической поддержкой пресейловых команд решений SD-WAN и NGFW, разработкой сценариев использования, лабораторных работ и технических материалов.

В статье хочу рассказать об интеграционных сценариях NGFW c комплиментарными решениями смежных классов. В первую очередь это будет интересно архитекторам информационной безопасности на стороне заказчика, отвечающим за проектирование комплексной системы защиты корпоративной инфраструктуры и разработку сценариев реагирования на инциденты, а также экспертам по кибербезопасности на стороне системных интеграторов.

Сетевая реальность и ландшафт угроз

Периметр корпоративной вычислительной сети претерпел значительные изменения за последние годы. Корпоративная сеть сегодня — это «сеть без границ». Раньше, когда сети были изолированными и в сети кроме рабочих станций, серверов и коммутаторов ничего больше не было, контролировать периметр на границе с сетью Интернет было достаточно просто с использованием межсетевых экранов. Сейчас ситуация поменялась: широко используются Wi-Fi и гостевой доступ, мобильные устройства, облачные сервисы, умные устройства, мобильные сотрудники и удаленные офисы. В результате периметр корпоративной сети стал значительно шире, увеличилась площадь возможной атаки, возросла вероятность проникновения злоумышленников в корпоративную сеть.

Безопасность компании — это не только периметр, но и внутренняя сегментация, где также требуется обеспечение гранулярного контроля, обнаружение угроз, мониторинг и аналитика сетевого трафика для его профилирования и обнаружения аномального поведения, соответствие требованиям законодательства, реализация требований корпоративных политик и внутренних стандартов в области информационной безопасности.

Современные киберугрозы становятся все более комплексными и изощренными: от массовых атак до таргетированных кампаний против конкретных организаций и сотрудников. Рост сложности кибератак также обусловлен необходимостью расшифровки и глубокой инспекции трафика, в частности. Например, за 2024 год 87% угроз доставлены через зашифрованные каналы. В таких условиях одно средство защиты, каким бы продвинутым оно ни было, не способно обеспечить полноценное противодействие всем векторам атак.

Интеграция средств информационной безопасности в единый комплекс становится ключевым фактором повышения эффективности защиты корпоративной инфраструктуры. Централизованное управление политиками безопасности и корреляция событий в рамках единой консоли сокращают операционную нагрузку на персонал и минимизируют вероятность ошибок. Совместимость используемых решений и API позволяют реализовать автоматизированные сценарии реагирования на инциденты. Это снижает общую сложность инфраструктуры и совокупную стоимость владения. Аналогичный подход реализован в концепции Cisco Security Everywhere, которая предполагает интеграцию средств защиты на всех уровнях инфраструктуры для их тесного взаимодействия и скоординированного ответа на угрозы.

Сегодня, с точки зрения потребности рынка, NGFW — это не просто межсетевой экран нового поколения, а платформа, способная взаимодействовать с различными решениями смежных классов. Такой подход повышает осведомленность о внутреннем сетевом взаимодействии, обеспечивает контроль, позволяет автоматизировать процессы реагирования и делает защиту проактивной, а не реактивной.

В данной статье рассматриваются пять сценариев интеграции Kaspersky NGFW с решениями смежных классов:

  • Open Single Management Platform (OSMP) — платформа для централизованного управления NGFW и другими продуктами «Лаборатории Касперского».

  • Kaspersky Email Security Gateway (KSMG) — защита корпоративной почты.

  • Kaspersky EDR — обнаружение угроз и реагирование на рабочих станциях.

  • Kaspersky Anti-Targeted Attack (KATA) Sandbox — поведенческий анализ «новых» файлов с неизвестной репутацией.

  • Kaspersky ASAP — автоматизированная платформа обучения киберграмотности.

  • Kaspersky Security Network (KSN) — распределенная облачная инфраструктура, предназначенная для обработки потоков данных, связанных с кибербезопасностью от миллионов участников по всему миру. Поддерживает запросы от NGFW в режиме реального времени для уточнения репутации хешей неизвестных файлов, IP и URL.

Для агрегации событий безопасности, отчетности (Dashboard), поиска событий и инцидентов с использованием инструмента Threat Hunting для платформы OSMP требуется лицензия Kaspersky NGFW Log Analyzer. Для корреляции событий и реагирования для платформы OSMP требуется лицензия Kaspersky XDR. Все рассматриваемые интеграционные сценарии в этой статье предполагают использование плейбуков и подразумевают наличие лицензии Kaspersky XDR для возможности расследования и автоматизации.

Дополнительно в сценариях используется взаимодействие с решениями класса Network Admission Control (NAС) и сетевым оборудованием уровня доступа для динамической сегментации скомпрометированных узлов сети.

В совокупности широкая интеграция NGFW со смежными решениями позволяет выстраивать единый контур безопасности, охватывающий этапы аналитики, расследования, реагирования и автоматизации.

Интеграционный сценарий #1. Обнаружение и изоляция скомпрометированного хоста

Одна из важных задач безопасности в корпоративной инфраструктуре — своевременное выявление и ограничение активности скомпрометированного хоста. Такой узел может использоваться злоумышленником для распространения атаки или сбора данных внутри сети. В данном сценарии демонстрируется взаимодействие NGFW с платформой XDR, выполняющей задачу агрегации журнала событий, корреляцию и взаимодействие со сторонним NAC решением для автоматической изоляции скомпрометированного устройства.

Интеграционный сценарий #1. Обнаружение и изоляция скомпрометированного хоста
Интеграционный сценарий #1. Обнаружение и изоляция скомпрометированного хоста

Пользователь без EPP/EDR-решения на рабочей станции проходит процедуру аутентификации и авторизации (1) на коммутаторе доступа по протоколу 802.1X с использованием учетной записи Active Directory и после этого получает доступ в корпоративную сеть.

В процессе работы NGFW обнаруживает и блокирует (2) попытку подключения к внешнему C&C-серверу, тем самым предотвращает взаимодействие скомпрометированного хоста с инфраструктурой злоумышленника.

На следующем шаге NGFW передает (3) событие безопасности и информацию об учетной записи пользователя в XDR, где выполняется их корреляция.

Обнаружив признаки компрометации, XDR запускает скрипт реагирования (4) на NAC-решении, которое по цепочке автоматически переводит порт коммутатора (5) с подключенным скомпрометированным хостом в карантинный VLAN.

Пример базового корреляционного правила playbook для реагирования в случае событий безопасности С&C, trojan и др.
Пример базового корреляционного правила playbook для реагирования в случае событий безопасности С&C, trojan и др.

Таким образом, обеспечивается не только обнаружение факта атаки, но и автоматическая реакция на уровне сетевой инфраструктуры. Подобная интеграция минимизирует время реагирования, снижает риски распространения угрозы и позволяет оперативно локализовать инцидент без ручного вмешательства администратора.

Интеграционный сценарий #2. Обнаружение сетевого сканирования и изоляция хоста нарушителя

В корпоративных сетях атаки могут начинаться с этапа разведки, когда злоумышленник (например, нелояльный сотрудник) осуществляет сетевое сканирование с целью выявления активов и их потенциальных уязвимостей. На этом этапе важно своевременно обнаружить подозрительную активность и предотвратить ее развитие в полноценную атаку.

Обычно EPP/EDR-решения поддерживают функцию обнаружения и защиты от входящего сканирования. Их основная задача — выявить вредоносную или подозрительную активность, направленную против защищаемого хоста. Напротив, исходящее сетевое сканирование часто остается «прозрачным» для EDR, так как не всегда классифицируется как вредоносная активность.

В этом сценарии ключевую роль играет NGFW, который выполняет анализ сетевого трафика, выявляет (1) признаки сканирования, блокирует (2) соответствующую активность и отправляет (3) события информационной безопасности в XDR.

Интеграционный сценарий #2. Обнаружение сетевого сканирования и изоляция хоста нарушителя
Интеграционный сценарий #2. Обнаружение сетевого сканирования и изоляция хоста нарушителя

Далее XDR выполняет корреляцию и инициирует (4) скрипт реагирования в сторону решения EDR, которое помещает (5) скомпрометированный хост в сетевой карантин средствами EDR-агента. Это обеспечивает изоляцию узла нарушителя от корпоративных ресурсов и препятствует дальнейшему развитию атаки.

Пример алгоритма playbook, который определяет действия во время выполнения сценария реагирования для автоматического помещения скомпрометированной рабочей станции в сетевой карантин средствами EDR-агента
Пример алгоритма playbook, который определяет действия во время выполнения сценария реагирования для автоматического помещения скомпрометированной рабочей станции в сетевой карантин средствами EDR-агента

Последовательное взаимодействие NGFW, XDR и EDR формирует единый контур защиты от обнаружения сканирования до автоматизированного реагирования и изоляции хоста. Такой подход демонстрирует эффективность интеграции различных средств защиты в рамках единой экосистемы.

Интеграционный сценарий #3. Предотвращение атаки и изоляция скомпрометированного устройства

Одним из уязвимых элементов в корпоративной сети является персональное устройство сотрудника (BYOD). В случае компрометации такого устройства злоумышленник может использовать устройство пользователя и корпоративную учетную запись для попытки атаки на критически важные системы. В подобной ситуации необходима интеграция различных средств защиты, обеспечивающих не только предотвращение атаки, но и автоматическую изоляцию нарушителя.

Интеграционный сценарий #3. Предотвращение атаки и изоляция скомпрометированного устройства
Интеграционный сценарий #3. Предотвращение атаки и изоляция скомпрометированного устройства

В начале сценария пользователь проходит аутентификацию (1) на контроллере беспроводного доступа с личного скомпрометированного устройства с использованием корпоративной учетной записи Active Directory.

Злоумышленник, попав в корпоративную сеть, инициирует попытку атаки на корпоративную CRM-систему, NGFW выполняет анализ сетевого трафика, обнаруживает и блокирует (2) атаку.

Журнал событий передается (3) в XDR, который на основании анализа событий безопасности автоматически запускает скрипт блокировки (4) учетной записи пользователя в Active Directory.

Пример playbook для блокирования учетной записи Active Directory
Пример playbook для блокирования учетной записи Active Directory

Далее в XDR запускается playbook (5), который через API инициирует реагирование на NAC-сервере, который в свою очередь передает команду на контроллер беспроводного доступа для выполнения процедуры разрыва (6) текущей сессии (Change of Authorization — CoA).

В результате пользователь не может пройти процедуру повторной аутентификации и скомпрометированное устройство изолируется от корпоративной сети.

Интеграционный сценарий #4. Обнаружение целевых атак и проактивное реагирование

Целевые атаки часто начинаются с доставки вредоносного ПО (ВПО) по электронной почте. Например, когда злоумышленник направляет вложение с эксплойтом или загрузчиком пользователю внутрь корпоративной сети.

Интеграционный сценарий #4. Обнаружение целевых атак и проактивное реагирование
Интеграционный сценарий #4. Обнаружение целевых атак и проактивное реагирование

На первом этапе ВПО отправляется (1) по зашифрованному SMTPS-соединению. NGFW не выполняет его расшифровку и инспектирование, а только разрешает (2) сетевое соединение для последующего анализа в KSMG.

KSMG использует все доступные средства выявления ВПО, однако ввиду целевой атаки вложение имеет неизвестную репутацию и не поддается детектированию. В таком случае KSMG придерживает письмо и передает вложенный файл (3) в KATA Sandbox для его поведенческого анализа. После эмуляции поведения файла KATA возвращает вердикт (4), KSMG удаляет вредоносное вложение из письма, формирует событие безопасности и передает журнал событий (5) в XDR.

Далее XDR инициирует скрипты реагирования для блокировки e-mail-адреса (5) отправителя на KSMG и блокировки IP-адреса (6) сервера отправителя на NGFW. Такой подход позволяет не только остановить текущую атаку, но и исключить повторные попытки доставки вредоносного контента из тех же источников.

Пример работы скрипта реагирования для создания правил блокировки злонамеренного IP-адреса на NGFW; события на скриншоте отображены снизу вверх в хронологическом порядке
Пример работы скрипта реагирования для создания правил блокировки злонамеренного IP-адреса на NGFW; события на скриншоте отображены снизу вверх в хронологическом порядке
Содержание скрипта реагирования для блокировки IP-адреса на NGFW при наступлении инцидента безопасности (при формировании Alert)
Содержание скрипта реагирования для блокировки IP-адреса на NGFW при наступлении инцидента безопасности (при формировании Alert)
Результат работы playbook для создания правил блокирования злонамеренного IP-адреса в главной политике межсетевого экрана
Результат работы playbook для создания правил блокирования злонамеренного IP-адреса в главной политике межсетевого экрана

На завершающем этапе аналитик SOC, получив уведомление об инциденте, выполняет анализ первопричин, инициирует задачу (8) по формированию индикаторов компрометации (IOC) и определению параметров последующего сканирования хостов с EDR-агентами.

Интеграционный сценарий #5. Таргетированный фишинг, обнаружение и реагирование

Таргетированный фишинг остается одним из наиболее распространенных и успешных векторов атак на сотрудников. Большая часть инцидентов информационной безопасности связаны с человеческим фактором и низким уровнем осведомленности в области киберграмотности.

Интеграционный сценарий #5. Таргетированный фишинг, обнаружение и реагирование
Интеграционный сценарий #5. Таргетированный фишинг, обнаружение и реагирование

На первом этапе сценария пользователь становится жертвой таргетированной атаки (1) и загружает файл по фишинговой ссылке. NGFW проверяет содержимое (2) как потоковым, так и объектным антивирусом, а также выполняет уточнение репутации файла (3) в облаке KSN. Несмотря на используемые движки, ввиду целевой атаки файл имеет неизвестную репутацию и не поддается детектированию, и файл доставляется на устройство пользователя (4).

NGFW фиксирует факт загрузки объекта с неизвестной репутацией и отправляет соответствующий журнал (5) в XDR. Далее NGFW передает файл (6) на дополнительный анализ в KATA Sandbox. По завершении поведенческого анализа песочницанаправляет вердикт (7) на NGFW и XDR.

NGFW кэширует хеш URL-ссылки вредоносного файла для дальнейшей блокировки.

Пример результата детектирования и блокирования злонамеренного файла NGFW на основе вердикта KATA Sandbox при попытке его повторной загрузки; скриншот из инструмента Threat Hunting платформы OSMP (Kaspersky XDR)
Пример результата детектирования и блокирования злонамеренного файла NGFW на основе вердикта KATA Sandbox при попытке его повторной загрузки; скриншот из инструмента Threat Hunting платформы OSMP (Kaspersky XDR)

XDR запускает скрипт реагирования (8) в сторону EDR для помещения скомпрометированного хоста в сетевой карантин средствами EDR-агента для предотвращения дальнейшего распространения угрозы внутри корпоративной сети. Во втором сценарии был представлен пример алгоритма playbook, который определяет действия во время выполнения сценария реагирования для автоматического помещения скомпрометированной рабочей станции в сетевой карантин средствами EDR-агента. Далее на скриншоте — пример ручного реагирования.

Пример помещения хоста в сетевой карантин средствами EDR-агента, реагирование выполняется аналитиком SOC по результатам расследования
Пример помещения хоста в сетевой карантин средствами EDR-агента, реагирование выполняется аналитиком SOC по результатам расследования

Завершающим этапом является анализ первопричин (9) инцидента SOC-аналитиком, который запускает скрипт автоматического назначения пользователю релевантного обучения на платформе Kaspersky ASAP. Такой подход не только закрывает текущий инцидент, но и снижает риск повторения подобных атак в будущем.

Пример назначения пользователю из платформы XDR релевантного обучения на платформе Kaspersky ASAP по результатам анализа инцидента безопасности
Пример назначения пользователю из платформы XDR релевантного обучения на платформе Kaspersky ASAP по результатам анализа инцидента безопасности
Пример запуска скрипта для формирования индикаторов компрометации и последующего запуска задачи сканирования рабочих станций на предмет их обнаружения IOC
Пример запуска скрипта для формирования индикаторов компрометации и последующего запуска задачи сканирования рабочих станций на предмет их обнаружения IOC

Ценность подхода

Интеграция NGFW с решениями смежных классов позволяет сформировать единый «центр силы» корпоративной защиты, где каждое средство безопасности усиливает другое. Организация получает не просто набор разрозненных инструментов, а согласованную систему, способную эффективно противостоять современным угрозам.

Благодарю коллег Вячеслава Старшинова, Антона Кожукало, Виталия Шкуратова и Игоря Зубкова за консультации и предоставленные скриншоты с их демостендов.

Комментарии (0)