Многие предприятия до сих пор строят свою систему защиты опираясь на уже устаревший периметровый подход, сосредотачивая все средства безопасности в одной-двух контрольных точках сети, полностью забывая про наличие обходных каналов — Wi-Fi, флешек, 4G, ActiveSync и т.п. Да и про внутреннего нарушителя, который уже находится внутри сети и может выполнять свое “черное дело”, не боясь быть обнаруженным периметровыми средствами защиты, многие тоже забывают. Что делать в такой ситуации?
Вариантов можно назвать три. Первый — построить во внутренней сети еще одну, но уже наложенную сеть из средств безопасности? Я думаю любой производитель средств защиты с удовольствием подготовит предложение по данному варианту, включив в него множество сенсоров IPS и межсетевых экранов, которые будут мониторить и контролировать внутренние сетевые потоки и обнаруживать вредоносный код и неразрешенные приложения. Но такой вариант сопряжен с рядом трудностей. Во-первых, не всегда существующий дизайн сети позволяет реализовать такое подключение. То сеть работает на скоростях, неподвластных средствам защиты, то span-порты для подключения IDS уже заняты, то предприятие активно задействует виртуализацию и средства защиты не могут эффективно контролировать трафик, не уходящий за пределы физического сервера. Во-вторых, установка дополнительных устройств во внутренней сети требует немалых финансовых средств, что в условиях непростой экономической ситуации не всегда реализуемо.
Второй часто рекомендуемый вариант — установить средства защиты на сервера и рабочие станции, обнаруживая и блокирую несанкционированную активность пользователей или против пользователей. Все так, но… Что делать с принтерами, сканерами, промышленными контроллерами, IP-системами видеонаблюдения и контроля доступа? Ведь за ними пользователи не работают (и их нельзя аутентифицировать традиционными методами) и на них нельзя поставить ни антивирус, ни HIPS, ни другие средства защиты. Так уже сложилось, что часто эти устройства, а их может быть даже больше, чем пользовательских компьютеров, становятся мишенью для злоумышленников или площадкой для дальнейшего продвижения по внутренней сети предприятия. На такого рода устройствах можно установить перехватчик трафика и он будет сниффить все, до чего он может дотянуться. И никаких средства защиты ПК и серверов такие нарушения политики безопасности не заметят в принципе. А наличие обходных каналов в виде незащищенного Wi-Fi или 4G-модема приведут к тому, что конфиденциальные данные могут утечь минуя средства защиты корпоративного периметра.
А может быть попробовать возложить эту задачу на то, что и так есть и во что инвестированы немалые средства? Речь идет о сетевой инфраструктуре, о маршрутизаторах, коммутаторах и точках доступа, которые могут не только передавать трафик из точки А в точку Б, но и эффективно защищать этот трафик, выполняя одновременно роль сенсора, защитной стены и инструмента реагирования на инциденты безопасности. Ведь по сути каждое сетевое устройство представляет собой сенсор системы защиты сети — трафик проходит через него, трафик идентифицируется и классифицируется, трафик направляется в точку назначения. Почему бы не сделать еще один шаг и не добавить к каждому из этих пунктов фразу «с точки зрения политики ИБ»? Почему нельзя идентифицировать приложения на уровне маршрутизатора или коммутатора, не доводя их трафик до МСЭ на периметре? Почему нельзя идентифицировать атаки, не коммутируя трафик через span-порт на IDS, а воспользовавшись возможностями инфраструктурного оборудования? Почему нельзя блокировать трафик на порту коммутатора, к которому подключается нарушитель, а не ждать, когда трафик дойдет до МСЭ? Почему нельзя динамично менять списки контроля доступа в зависимости от местоположения пользователя или устройства, а не закрывать глаза на неконтролируемое хождение трафика внутри сети и неограниченный доступ пользователей к внутренним ресурсам?
А почему, собственно, нельзя? Можно! Именно это и делает Cisco в своей сетевой инфраструктуре, выступающей не только как сенсор системы защиты (Network as a Sensor), но и как система защиты (Network as a Enforcer) и система расследования инцидентов ИБ. В качестве исходных данных мы используем протокол Netflow, который дает нам все нужные данные о проходящем трафике, отвечающие на все важные для политики ИБ вопросы — кто, что, когда, куда/откуда, как. С помощью NetFlow мы можем классифицировать трафик, распознавать приложения, идентифицировать атаки и утечки, обнаруживать использование неразрешенных приложений или появление посторонних узлов, проводить расследования инцидентов и идентифицировать точку входа злоумышленников в сеть. Все это позволяет сделать Netflow, на который накладывается аналитика ИБ, заложенная в решение Cisco Cyber Threat Defense. Разграничение и блокирование несанкционированного доступа реализуется с помощью списков контроля доступа и меток безопасности SGT (Security Group Tag), закладывающих основы для технологии Cisco TrustSec, а эффективно управлять всеми настройками безопасности на десятках тысяч устройств помогает Cisco Identity Service Engine (ISE).
Чем интересно такое решение по сетевой безопасности, встроенное в саму сетевую инфраструктуру? Помимо решения задач безопасности внутренней сети и локализации проблем в момент их возникновения, а не тогда, когда они достигают периметра или некоторых контрольных точек в сети, в которых ставятся средства защиты, мы получаем и еще одно преимущество — защиту сделанных в инфраструктуру инвестиций и возможность обеспечивать защиту предприятия в условиях урезания бюджетов. Ведь инфраструктура у нас уже есть. Все, что нам нужно — это система аналитики и визуализации Netflow с точки зрения ИБ Cisco Cyber Threat Defense, а также система управления динамическими списками контроля доступа — Cisco Identity Service Engine.
Чуть больше деталей о подходе Cisco по сетевой безопасности встроенными механизмами инфраструктуры можно увидеть в подготовленной нами презентации:
ЗЫ. А защиту периметра и установку IDS/IPS/МСЭ внутри сети все равно никто не отменял. Просто сама по себе она уже не спасает. В идеале она должна быть интегрирована с защитой внутренней сети и функционировать по единым политикам.
Вариантов можно назвать три. Первый — построить во внутренней сети еще одну, но уже наложенную сеть из средств безопасности? Я думаю любой производитель средств защиты с удовольствием подготовит предложение по данному варианту, включив в него множество сенсоров IPS и межсетевых экранов, которые будут мониторить и контролировать внутренние сетевые потоки и обнаруживать вредоносный код и неразрешенные приложения. Но такой вариант сопряжен с рядом трудностей. Во-первых, не всегда существующий дизайн сети позволяет реализовать такое подключение. То сеть работает на скоростях, неподвластных средствам защиты, то span-порты для подключения IDS уже заняты, то предприятие активно задействует виртуализацию и средства защиты не могут эффективно контролировать трафик, не уходящий за пределы физического сервера. Во-вторых, установка дополнительных устройств во внутренней сети требует немалых финансовых средств, что в условиях непростой экономической ситуации не всегда реализуемо.
Второй часто рекомендуемый вариант — установить средства защиты на сервера и рабочие станции, обнаруживая и блокирую несанкционированную активность пользователей или против пользователей. Все так, но… Что делать с принтерами, сканерами, промышленными контроллерами, IP-системами видеонаблюдения и контроля доступа? Ведь за ними пользователи не работают (и их нельзя аутентифицировать традиционными методами) и на них нельзя поставить ни антивирус, ни HIPS, ни другие средства защиты. Так уже сложилось, что часто эти устройства, а их может быть даже больше, чем пользовательских компьютеров, становятся мишенью для злоумышленников или площадкой для дальнейшего продвижения по внутренней сети предприятия. На такого рода устройствах можно установить перехватчик трафика и он будет сниффить все, до чего он может дотянуться. И никаких средства защиты ПК и серверов такие нарушения политики безопасности не заметят в принципе. А наличие обходных каналов в виде незащищенного Wi-Fi или 4G-модема приведут к тому, что конфиденциальные данные могут утечь минуя средства защиты корпоративного периметра.
А может быть попробовать возложить эту задачу на то, что и так есть и во что инвестированы немалые средства? Речь идет о сетевой инфраструктуре, о маршрутизаторах, коммутаторах и точках доступа, которые могут не только передавать трафик из точки А в точку Б, но и эффективно защищать этот трафик, выполняя одновременно роль сенсора, защитной стены и инструмента реагирования на инциденты безопасности. Ведь по сути каждое сетевое устройство представляет собой сенсор системы защиты сети — трафик проходит через него, трафик идентифицируется и классифицируется, трафик направляется в точку назначения. Почему бы не сделать еще один шаг и не добавить к каждому из этих пунктов фразу «с точки зрения политики ИБ»? Почему нельзя идентифицировать приложения на уровне маршрутизатора или коммутатора, не доводя их трафик до МСЭ на периметре? Почему нельзя идентифицировать атаки, не коммутируя трафик через span-порт на IDS, а воспользовавшись возможностями инфраструктурного оборудования? Почему нельзя блокировать трафик на порту коммутатора, к которому подключается нарушитель, а не ждать, когда трафик дойдет до МСЭ? Почему нельзя динамично менять списки контроля доступа в зависимости от местоположения пользователя или устройства, а не закрывать глаза на неконтролируемое хождение трафика внутри сети и неограниченный доступ пользователей к внутренним ресурсам?
А почему, собственно, нельзя? Можно! Именно это и делает Cisco в своей сетевой инфраструктуре, выступающей не только как сенсор системы защиты (Network as a Sensor), но и как система защиты (Network as a Enforcer) и система расследования инцидентов ИБ. В качестве исходных данных мы используем протокол Netflow, который дает нам все нужные данные о проходящем трафике, отвечающие на все важные для политики ИБ вопросы — кто, что, когда, куда/откуда, как. С помощью NetFlow мы можем классифицировать трафик, распознавать приложения, идентифицировать атаки и утечки, обнаруживать использование неразрешенных приложений или появление посторонних узлов, проводить расследования инцидентов и идентифицировать точку входа злоумышленников в сеть. Все это позволяет сделать Netflow, на который накладывается аналитика ИБ, заложенная в решение Cisco Cyber Threat Defense. Разграничение и блокирование несанкционированного доступа реализуется с помощью списков контроля доступа и меток безопасности SGT (Security Group Tag), закладывающих основы для технологии Cisco TrustSec, а эффективно управлять всеми настройками безопасности на десятках тысяч устройств помогает Cisco Identity Service Engine (ISE).
Чем интересно такое решение по сетевой безопасности, встроенное в саму сетевую инфраструктуру? Помимо решения задач безопасности внутренней сети и локализации проблем в момент их возникновения, а не тогда, когда они достигают периметра или некоторых контрольных точек в сети, в которых ставятся средства защиты, мы получаем и еще одно преимущество — защиту сделанных в инфраструктуру инвестиций и возможность обеспечивать защиту предприятия в условиях урезания бюджетов. Ведь инфраструктура у нас уже есть. Все, что нам нужно — это система аналитики и визуализации Netflow с точки зрения ИБ Cisco Cyber Threat Defense, а также система управления динамическими списками контроля доступа — Cisco Identity Service Engine.
Чуть больше деталей о подходе Cisco по сетевой безопасности встроенными механизмами инфраструктуры можно увидеть в подготовленной нами презентации:
ЗЫ. А защиту периметра и установку IDS/IPS/МСЭ внутри сети все равно никто не отменял. Просто сама по себе она уже не спасает. В идеале она должна быть интегрирована с защитой внутренней сети и функционировать по единым политикам.