Krajem 2015 Kaspersky Lab naveo razočaravajuću statistiku: oko 58% korporativnih računara je bar jednom napadnuto malverom. I to se samo uspješno odražava. Trećina njih (29%) napadnuta je putem interneta. Uočeno je da su tri puta veća vjerovatnoća da će biti ugroženi ne kućni, već korporativni računari, pa je poslovanje u opasnosti od gubitka ili uništenja podataka.
U 2017. situacija nije postala sigurnija: sjetite se barem nedavne gužve zbog zloglasnih virusa Petya, WannaCry i BadRabbit. I dalje, oko 80% kompanija ne ažurira svoje sigurnosne sisteme, a oko 30% ima jasno vidljive ranjivosti.
Mrežna sigurnost u teoriji i praksi
Ne tako davno korisnicima interneta je bio dovoljan jednostavan firewall. Međutim, vremena su se promijenila i sada je potrebno ozbiljnije rješenje - UTM uređaj koji objedinjuje sve funkcionalnosti dizajnirane da zaštite korporativne mreže od invazije. Koristeći sveobuhvatan sistem upravljanja prijetnjama, kompanija će dobiti antivirus, firewall, sistem za prevenciju prijetnji, zaštitu od neželjene pošte i još mnogo toga "u jednoj boci".
Za razliku od klasične metode, koja uključuje kupovinu više odvojenih uređaja i njihovu integraciju u jedinstven sistem, ovo je ekonomičnija i produktivnija opcija, koja zapravo stoji na tri stuba:
- Višeslojna zaštita u realnom vremenu.
- Univerzalni filter koji ne dozvoljava špijunskom softveru i virusima da prođu.
- Zaštita od neželjene pošte i neprikladnog sadržaja.
Ovakav pristup eliminiše potrebu za povećanjem potrošnje na hardver, angažovanjem IT stručnjaka koji mogu da učine da ceo sistem radi ispravno, i štedi vas od problema sa redovnim padom brzine saobraćaja.
U praksi, za velika i mala preduzeća, različita funkcionalnost će biti prioritet. Okretanjem složenim sistemima, male organizacije se nadaju, prije svega, da će riješiti problem sigurnog pristupa mreži za zaposlene i klijente. Za korporativne mreže srednje složenosti potreban je stabilan komunikacioni kanal. Velike kompanije se bave čuvanjem tajni. Kao rezultat, svaki zadatak ima strogo individualno rješenje.
Praksa velikih kompanija
Na primjer, za kompaniju Gazprom i sličnih organizacija koje daju prednost ruskom softveru, to znači smanjenje rizika koji proizilaze iz upotrebe stranog softvera. Osim toga, ergonomija diktira potrebu za korištenjem opreme koja je standardizirana za postojeću strukturu hardvera.
Problemi s kojima se susreću veliki biznisi uzrokovani su upravo veličinom organizacije. UTM ovdje pomaže u rješavanju problema u vezi sa ogromnim brojem zaposlenih, velikim količinama podataka koji se prenose internom mrežom, te potrebom manipulacije pojedinačnim klasterima koji imaju pristup internetu.
Funkcionalnost koju zahtijeva veliki biznis:
- Napredna kontrola nad radom korisnika računara, njihovim pristupom mreži i pojedinačnim resursima.
- Zaštita od internih mrežnih prijetnji, uključujući URL filtriranje i dvofaktorsku autentifikaciju korisnika.
- Filtriranje sadržaja koji se prenosi internom mrežom, upravljanje Wi-Fi mrežama.
Još jedan primjer iz naše prakse. U direkciji željezničkih stanica kompanije "RUSKE ŽELEZNICE"(klasičan primjer velikog poslovnog projekta sa ograničenim prometom) rješenje je zaustavilo niz sigurnosnih problema, spriječilo curenje podataka, a izazvalo je i predviđeno povećanje efikasnosti rada zbog ugradnje internih brava.
Za bankarski sektor, prema našem iskustvu, posebno je važno osigurati stabilan, brz i neprekidan internet saobraćaj, što se postiže zahvaljujući mogućnosti balansiranja i preraspodjele opterećenja. Također je važno zaštititi se od curenja informacija i kontrolirati njihovu sigurnost.
Tržni centri, posebno Kolomensky Rio također su periodično izloženi prijetnji vanjskih napada na njihovu mrežu. Međutim, najčešće se menadžment tržnih centara interesuje za mogućnost uvođenja interne kontrole nad zaposlenima koji imaju ograničenja u radu sa internetom, u zavisnosti od odgovornosti. Osim toga, internet se aktivno distribuira po cijelom području trgovačkog centra, što povećava opasnost od kršenja perimetra. A da bi se takve situacije uspješno spriječile, UTM rješenje predlaže korištenje upravljanja aplikacijama.
Trenutno, tržni centar "Rio" aktivno koristi filtere, višeslojno blokiranje i uklanjanje programa i aplikacija koje su na crnoj listi. Glavni rezultat u ovom slučaju je povećanje efikasnosti rada i ušteda vremena zbog činjenice da zaposlenike više ne ometaju društvene mreže i online trgovine trećih strana.
Potrebe za uslugom
Kafići, restorani i hoteli suočeni su sa potrebom za besplatnom distribucijom Wi-Fi mreže, koja je trenutno, prema ocjenama posjetitelja, jedna od najtraženijih usluga. Među problemima koji zahtijevaju hitno rješenje su: kvalitetan pristup Internetu i usklađenost sa zakonodavstvom Ruske Federacije. Osim toga, hotelski lanci imaju neke specifične karakteristike povezane s povećanim opterećenjem. Društvene mreže, postavljanje fotografija i videa sa odmora i samo surfanje ne bi trebalo da izazovu kvarove i gašenja celog sistema.
Sve ove probleme zaustavlja pravilno konfigurisan UTM sistem. Kao rješenje predlaže se uvođenje identifikacije uređaja SMS-om, filtriranja sadržaja i prometa, podjele tokova na kojima sjede kupci i zaposleni, prema cenzuri i starosnim pokazateljima. Također, mora biti instalirana zaštita uređaja priključenih na mrežu.
Bolnice, klinike i druge medicinske ustanove zahtijevaju jedinstven sigurnosni kompleks kojim se upravlja iz jednog centra, uzimajući u obzir strukturu podružnice. Rusko UTM rješenje je prioritet za takve vladine agencije u vezi sa politikom zamjene uvoza i usklađenosti sa zakonom o zaštiti osobnih podataka.
Prednosti UTM rješenja
Glavni je očigledan: jedan uređaj zamjenjuje nekoliko odjednom, savršeno obavljajući funkcije svakog od njih. Osim toga, mnogo je lakše povezati i konfigurirati takav uređaj, a svatko može raditi s njim. Kompleksno rješenje ima nekoliko prednosti:
- Finansijski. Odvojena kupovina visokokvalitetnih zaštitnih alata (sigurnosni sistem, antivirusni blok, VPN i proxy server, firewall, itd.) je višestruko skuplja od cijene opreme. Pogotovo kada su u pitanju uvozne opcije. UTM uređaji su mnogo pristupačniji, a još kvalitetniji domaći proizvodi.
- Funkcionalni. Pretnje se sprečavaju na nivou mrežnog gateway-a, što ne remeti radni tok i ne utiče na kvalitet saobraćaja. Brzina je stabilna i konstantna, aplikacije koje su osjetljive na to su stalno dostupne i rade normalno.
- Jednostavnost i pristupačnost. Sistem zasnovan na UTM-u nije samo brz za instalaciju, već je i lak za upravljanje, što pojednostavljuje administraciju. A domaća rješenja su napravljena na ruskom jeziku, što olakšava razumijevanje tehničkog dijela bez nepotrebnog čačkanja po specifičnoj terminologiji.
- Centralizovani nadzor i kontrola. UTM rješenje vam omogućava da upravljate udaljenim mrežama iz jednog centra bez dodatnih troškova za opremu i osoblje.
Generalno, UTM uređaji postaju centralni element informacione sigurnosti za svaku kompaniju koja ima mrežu od nekoliko računara do desetina hiljada pristupnih tačaka, efikasno sprečavajući probleme i pomažu da se izbegne proces čišćenja posledica infekcija i hakova.
Međutim, treba imati na umu da UTM ne rješava sve probleme, jer ne upravlja krajnjim uređajima koji su bespomoćni pred nesavjesnim korisnicima. Lokalna virusna prijetnja zahtijeva antivirusne programe, pored antivirusnog gateway-a, a DLP sistemi moraju biti instalirani kako bi se spriječilo curenje informacija. Novija istorija aerodroma je indikativna u tom pogledu. Heathrow, koja je pokrenula istragu nakon što je na jednoj londonskoj ulici pronađen fleš disk sa podacima vezanim za bezbjednosne i antiterorističke mjere na aerodromu.
Kriteriji odabira UTM sistema
Sistem mora zadovoljiti nekoliko parametara. To je maksimalna pogodnost, pouzdanost, jednostavnost podešavanja, intuitivan rad, stalna tehnička podrška proizvođača i relativno niska cijena. Osim toga, postoji strogi zahtjev za obaveznu certifikaciju od strane FSTEC-a (FZ-149, FZ-152, FZ-188). Odnosi se na obrazovne i državne institucije, preduzeća koja rade sa ličnim podacima, zdravstvene ustanove, preduzeća u javnom sektoru. Za korištenje necertificiranih sistema predviđene su stroge sankcije: novčana kazna do 50 hiljada rubalja, u nekim slučajevima - oduzimanje predmeta prekršaja i obustava aktivnosti do 90 dana.
Vodite računa o sebi i svojim podacima, koristite moderne sisteme zaštite informacija i ne zaboravite instalirati ažuriranja dobavljača.
U članku se ispituje uloga UTM sistema u kontekstu zahtjeva sigurnosti poslovne mreže. Izvršena je osnovna analiza „ravnoteže snaga“ na globalnom i ruskom tržištu. Pod UTM sistemima (univerzalni sigurnosni gateway) podrazumijevamo klasu multifunkcionalnih mrežnih uređaja, uglavnom firewall-a, koji sadrže mnoge funkcije, kao što su antispam, antivirus, zaštita od upada (IDS/IPS) i filtriranje sadržaja.
Uvod
Rizici korišćenja mreža su poznati. Međutim, u savremenim uslovima više nije moguće napustiti ovo drugo. Dakle, ostaje samo da se minimiziraju na prihvatljiv nivo.
U principu, mogu se razlikovati dva pristupa u obezbeđivanju integrisane bezbednosti. Prvi se često naziva klasičnim ili tradicionalnim. Njegova suština temelji se na aksiomu „specijalizirani proizvod je bolji od multifunkcionalnog kombajna“.
Međutim, uz rast mogućnosti različitih rješenja, počela su se pojavljivati uska grla u njihovoj zajedničkoj upotrebi. Dakle, zbog autonomije svakog proizvoda, došlo je do dupliciranja funkcionalnog sadržaja, što je u konačnici utjecalo na brzinu i konačnu cijenu ne na bolje. Osim toga, nije bilo garancije da će različita rješenja različitih proizvođača "mirno koegzistirati" jedno s drugim, a ne u sukobu. Ovo je zauzvrat stvorilo dodatne poteškoće za implementaciju, upravljanje i održavanje sistema. Konačno, postavilo se pitanje međusobne interakcije različitih rješenja (razmjena informacija za izgradnju „opće slike“, korelacija događaja, itd.) i pogodnosti upravljanja njima.
Sa poslovnog stanovišta, svako rješenje mora biti efikasno, ne samo u praktičnom smislu. Važno je da to, s jedne strane, omogućava smanjenje ukupnih troškova vlasništva, as druge, ne povećava složenost infrastrukture. Stoga je pitanje pojave UTM sistema bilo samo pitanje vremena.
Šta su Univerzalni sigurnosni prolazi (UTM)?
Hajde da ukratko opišemo najpopularnija rješenja.
Fortinet (FSTEC certificiran)
Fortinet nudi širok spektar uređaja, od FortiGate-20 serije za mala preduzeća i kancelarije do FortiGate-5000 serije za veoma velika preduzeća i pružaoce usluga. FortiGate platforme koriste FortiOS operativni sistem sa FortiASIC koprocesorima i drugim hardverom. Svaki FortiGate uređaj uključuje:
- Vatrozid, VPN i oblikovanje prometa;
- Sistem za sprečavanje upada (IPS);
- Anti-virus / Anti-malware;
- Integrirani Wi-Fi kontroler;
- Kontrola aplikacija;
- Zaštita od curenja podataka;
- Potraga za ranjivostima;
- IPv6 podrška;
- Web filtriranje;
- Antispam;
- VoIP podrška;
- Routing / switching;
- WAN optimizacija i web keširanje.
Uređaji dobijaju dinamička ažuriranja od globalnog istraživačkog centra FortiGuard Labs. Takođe, proizvodi zasnovani na FortiGate-u imaju složenu mrežnu funkcionalnost, uključujući grupisanje (aktivno/aktivno, aktivno/pasivno) i virtuelne domene (VDOM), koje omogućavaju razdvajanje mreža koje zahtevaju različite bezbednosne politike.
Check Point (FSTEC certificiran)
Check Point ističe sljedeće prednosti za svoje Check Point UTM-1 uređaje:
- Provjerena tehnologija kojoj vjeruju kompanije sa liste Fortune 500;
- Sve što vam je potrebno za zaštitu vaše mreže: funkcionalnost, ažuriranja i upravljanje sigurnošću;
- Zaštita mreža, sistema i korisnika od mnogih vrsta napada sa Interneta
- Osiguravanje povjerljivosti zaštitom udaljenog pristupa i komunikacije između čvorova;
- Implementirajte i upravljajte sigurnošću brzo i jednostavno s više sigurnosnih funkcija na jednom uređaju i širokim spektrom uređaja za preduzeća svih veličina - od malih ureda do velikih poduzeća;
- Zaštitite se od novih prijetnji uz pomoć Check Point usluge ažuriranja.
Svi UTM uređaji mogu uključivati softverske blejdove kao što su: FireWall, VPN, Sistem za prevenciju upada, SSL VPN, Zaštita od virusa, špijunskog softvera i neželjene pošte, Namenski zaštitni zid za veb aplikacije i Web filtriranje. Dodatni softverski blejdovi se mogu dodati po želji. Više detalja o tehničkim karakteristikama možete pronaći.
Dell
Još jedan lider u industriji, više fokusiran na velike kompanije nego na srednja i mala preduzeća. Kupovina Sonicwalla 2012. godine ima pozitivan uticaj na portfelj rješenja. Sva rješenja, od SuperMassive E10800 do TZ 100, izgrađena su na zaštićenoj mrežnoj sigurnosnoj SonicOS platformi i uključuju:
- Firewall sljedeće generacije;
- Kontrola aplikacija;
- Duboko istraživanje paketa (uključujući one šifrirane pomoću SSL-a);
- VPN i SSL VPN organizacija;
- Antivirus;
- Web filtriranje;
- Sistem za sprečavanje upada (IPS).
Više detalja o tehničkim karakteristikama možete pronaći.
WatchGuard (postoji FSTEC certifikat)
U UTM liniji, WatchGuard predstavljaju Firebox X uređaji zasnovani na arhitekturi Intelligent Layered Security. Arhitektura se sastoji od šest slojeva zaštite koji međusobno djeluju:
- „Spoljne bezbednosne usluge“ – nude tehnologije koje proširuju zaštitu mreže iza zaštitnog zida;
- Integritet podataka - proverava integritet paketa i njihovu usklađenost sa protokolima;
- "VPN" - provjerava šifrovane eksterne veze organizacije;
- Zaštitni zid za dinamičku analizu ograničava saobraćaj od izvora do onih odredišta i portova koji su dozvoljeni u skladu sa sigurnosnom politikom;
- "Deep Application Analysis" - osigurava njihovu usklađenost sa aplikacijskim nivoom ISO modela, seče opasne datoteke po uzorku ili tipu datoteke, blokira opasne komande i transformiše podatke kako bi se izbjeglo curenje;
- Sigurnost sadržaja - Analizira i upravlja prometom za odgovarajuću aplikaciju. Primjeri za to su tehnologije zasnovane na potpisima, usluge blokiranja neželjene pošte i URL filtriranje.
Zbog toga se sumnjiv saobraćaj dinamički otkriva i blokira, a normalan saobraćaj je dozvoljen unutar mreže.
Sistem takođe koristi svoje:
- Antivirusni / Sistem za prevenciju upada na pristupniku;
- WebBlocker;
- SpamBlocker.
Više detalja o tehničkim karakteristikama možete pronaći.
Sophos (postoji FSTEC sertifikat)
Asortiman uređaja kompanije predstavljen je linijom UTM xxx (od mlađeg modela UTM 100 do starijeg UTM 625). Glavne razlike su propusnost.
Rješenja uključuju niz integriranih mrežnih aplikacija:
- DPI firewall;
- Sistem za detekciju upada i web filtriranje;
- Sigurnost i zaštita e-pošte
- Filteri sadržaja;
- Antivirusna kontrola prometa;
- Mrežni servis (VLAN, DNS, DHCP, VPN);
- Izvještavanje.
Rešenja vam omogućavaju da obezbedite sigurnost i zaštitu mrežnih segmenata i mrežnih usluga u telekomunikacionoj infrastrukturi SOHO, SME, Enterprise, ISP i obezbedite kontrolu i fino podešavanje IP saobraćaja na nivou mreže. nivoi aplikacija (FW, IDS / IPS, VPN, Mail Security, WEB / FTP / IM / P2P sigurnost, Anti-virus, Anti-spam).
Više detalja o tehničkim karakteristikama možete pronaći.
NETASQ
NETASQ, dio EADS-a, specijaliziran je za zaštitne zidove odbrambenog nivoa za pouzdanu zaštitu mreža svih veličina. NETASQ UTM uređaji su sertifikovani od strane NATO-a i Evropske unije, a takođe su usklađeni sa klasom EAL4+ „Opšti kriterijumi za procenu bezbednosti informacionih tehnologija“.
Kompanija ističe prednosti svojih proizvoda:
- NETASQ Upravitelj ranjivosti;
- Antispam s filtriranjem e-pošte;
- Integracija sa Kaspersky Anti-Virus;
- Filtriranje URL-ova uz kontinuirano ažuriranje iz oblaka;
- Filtriranje unutar SSL / TLS;
- VPN rješenja s hardverskim ubrzanjem;
Portfolio kompanije uključuje hardver i virtuelne UTM ekrane (U serija i V serija, respektivno). V serija je certificirana za Citrix i VMware. U serija, zauzvrat, ima impresivan MTBF od 9-11 godina.
Više detalja o tehničkim karakteristikama možete pronaći.
Cisco (FSTEC certifikat)
Kompanija nudi rješenja kako za velika (Cisco ASA XXXX serija) tako i za mala/srednja preduzeća (Cisco Small Business ISA XXX serija). Funkcije podrške rješenja:
- Kontrola aplikacije i ponašanje aplikacije;
- Web filtriranje;
- Botnet zaštita;
- Zaštita od internet prijetnji u načinu rada što je moguće bliže realnom vremenu;
Takođe obezbeđeno:
- Podržava dva VPN-a za komunikaciju između ureda i partnera, proširiv na 25 (ASA 5505) ili 750 (ASA 5520) zaposlenih
- Podržava 5 (ASA 5505) do 250 (ASA 5550) LAN korisnika s bilo kojeg mjesta
Više detalja o tehničkim karakteristikama možete pronaći.
Juniper Networks
Funkcionalni pravac UTM podržan je linijama proizvoda serije SRX i J.
Glavne prednosti uključuju:
- Sveobuhvatna, višeslojna zaštita uključujući anti-malware, IPS, URL filtriranje, filtriranje sadržaja i anti-spam;
- Kontrolišite i zaštitite aplikacije koristeći politike zasnovane na korisničkim ulogama za suzbijanje napada na Web 2.0 aplikacije i usluge;
- Unaprijed instalirani, brzo povezani UTM alati;
- Minimalni troškovi za kupovinu i održavanje sigurnog gateway-a unutar jednog proizvođača sigurnosnog kompleksa.
Rješenje se sastoji od nekoliko komponenti:
- Antivirus.Štiti vašu mrežu od zlonamjernog softvera, virusa, špijunskog softvera, crva, trojanaca i drugih napada, kao i prijetnji e-pošte i weba koje mogu ugroziti vaše poslovanje i korporativnu imovinu. Sistem zaštite od malvera ugrađen u UTM baziran je na antivirusnom mehanizmu kompanije Kaspersky Lab.
- IPS... Koriste se različite metode detekcije, uklj. otkrivanje anomalija protokola i saobraćaja, potpisi konteksta, otkrivanje poplava SYN, prijevare s lažiranjem i otkrivanje backdoor-a.
- AppSecure... Paket sigurnosnih usluga svjestan aplikacija koji analizira promet, pruža široku vidljivost aplikacija, provodi pravila zaštitnog zida za aplikacije, kontrolira korištenje aplikacija i štiti mrežu.
- Poboljšano web filtriranje (EWF) pruža zaštitu od potencijalno štetnih web stranica na nekoliko načina. Tehnologija koristi 95 kategorija URL-ova za fleksibilnu kontrolu, pomaže administratorima da prate mrežne aktivnosti i provodi korporativne politike za korištenje web resursa. EWF koristi brzu analizu reputacije u realnom vremenu zasnovanu na najsavremenijoj mreži koja provjerava više od 40 miliona web stranica na sat da li ima zlonamjernog koda. EWF također održava kumulativni broj opasnosti za sve URL-ove, kategorizirane i nekategorizirane, omogućavajući kompanijama da pronađu i/ili blokiraju web-lokacije sa lošom reputacijom.
- Antispam.
Više detalja o tehničkim karakteristikama možete pronaći.
zaključci
Rusko tržište za UTM sisteme svakako je od interesa i za proizvođače i za potencijalne kupce. Međutim, zbog uhodane "tradicije", proizvođači moraju istovremeno voditi "bitku" kako na frontu sertifikacije i izgradnje partnerskog kanala, tako i na polju marketinga i promocije.
Dakle, već danas se može primijetiti kako gotovo sve razmatrane kompanije rade na prevođenju materijala na ruski, sticanju novih partnera, ali i certificiranju svojih rješenja. Na primjer, 2012. godine Dell je osnovao posebnu kompaniju Dell Russia posebno za rusko tržište (kompanija se neće baviti čak ni svojim „najbližim susjedima“ - Ukrajinom i Bjelorusijom). Domaći programeri također idu naprijed, razvijajući svoja rješenja. Važno je napomenuti da mnogi proizvođači (domaći i strani) integriraju module trećih strana u svoje proizvode. Antivirusni modul je indikativan u tom pogledu: različiti UTM sistemi koriste ClamAV, Kaspersky Anti-Virus, Avira AV, Dr.Web, itd.
Ipak, zaključak je očigledan: o ruskom tržištu se razmišlja ozbiljno i dugoročno. Zasad niko ne planira povlačenje, što znači da nas čeka borba za mjesto pod domaćim suncem. Na kraju krajeva, “br. 1 u svijetu” uopće nije isto što i “br. 1 u Rusiji”.
Internet Control Server vam omogućava da riješite više od 80 zadataka, implementirate dodatne mrežne usluge. Međutim, ako vam je prioritet da garantujete sigurnost vaše lokalne mreže i otpornost na razne sajber pretnje, možete koristiti samo alate za zaštitu podataka u ICS-u.
Korporativna mreža mora biti zaštićena od upada, uništenja ili neovlaštenih modifikacija, a da bude dostupna tokom radnog vremena za brzu akviziciju podataka. Apsolutna pouzdanost lokalne mreže može biti zagarantovana samo integrisanim pristupom formiranju sistema bezbednosti informacija. IKS KUB štiti:
- Računarske mreže ili pojedinačni čvorovi od neovlaštenog pristupa (firewall).
- Lokalna mreža od prodora zlonamjernih datoteka. Internet Control Server integriše antivirusne programe ClamAv (besplatni modul), Kaspersky Anti-Virus, Dr.Web (komercijalni moduli).
- Povjerljive informacije od curenja (DLP modul).
- Korporativna mreža sa botnet-a.
- Mail server protiv neželjene pošte, phishing napada (Kaspersky Anti-Spam modul).
- Telefonija (fail2ban usluga).
IKS KUB je softversko i hardversko rješenje, koje omogućava ne samo da se isključi mogućnost trošenja na dodatni softver i opremu, već i da se značajno poveća stepen sigurnosti mreže.
Upravljanje i praćenje
ICS KUB sa mogućnošću centralizovanog upravljanja omogućava značajno olakšanje rada sistem administratora u višegranskim organizacijama, gde su strukturna odeljenja smeštena u fizički udaljenim kancelarijama. Rješenje ispunjava sve zahtjeve postavljanja sistema, toka rada i oporavka od katastrofe, omogućavajući tehničaru da završi sva podešavanja sa jednog interfejsa.
Časopisi. Izvještaji
Ova funkcionalnost je posebno važna za administratore sistema, jer vam omogućava praćenje aktivnosti korisnika za bilo koji potreban period.
Standardni izvještaji u IKS-u:
- opšti sažetak izvještaja;
- prema aktivnosti korisnika;
- potrošnja prema obimu saobraćaja;
- top 5 IP adresa i domena.
Također je moguće vidjeti korisničku statistiku grupiranu po kategorijama prometa.
Dizajner izveštaja vam omogućava da prikupljate podatke po kriterijumima koji nisu predstavljeni u standardnim izveštajima (po tipovima mime-a, protokolima, interfejsima, domenima, grupama adresa, izvorima saobraćaja, vremenu).
Sistemska evidencija u ICS-u prikazuje poruke o radnjama korisnika, promenama statusa servisa i sistemskim greškama. Da bi bio svjestan šta se dešava i brzo reagovao, administrator sistema može odabrati tip događaja od interesa, podesiti obavještenja putem e-pošte, jabber-a ili icq-a i daljinski kontrolirati pomoću dodatnih komandi.
Kontrola pristupa i obračun saobraćaja
Danas je gotovo svaka lokalna mreža povezana na Internet, pa je, kako bi se izbjeglo trošenje saobraćaja tokom radnog vremena, potrebno kontrolisati pristup zaposlenih eksternoj mreži.
IKS CUB će omogućiti:
- dodijeliti različita prava pristupa za pojedine zaposlenike i korisničke grupe;
- ograničiti propusni opseg za pojedinačne lokacije, kvotu saobraćaja prema vremenu i korisnicima (na primjer, dozvoliti korištenje mreže u lične svrhe tokom neradnog vremena);
- odaberite način autorizacije korisnika. ICS CUBE podržava autorizaciju putem IP-a, MAC-a, login/lozinke, preko kontrolera domena, VPN konekcije, programa agenta;
- filtriranje saobraćaja po ugrađenim i integrisanim kategorijama, listama Ministarstva pravde i Roskomnadzora;
- vodite sistemski dnevnik, kompajlirajte izveštaje o aktivnostima korisnika (postoje ugrađeni standardizovani + dizajner izveštaja).
Ove mogućnosti će vam omogućiti da pratite mrežnu aktivnost svakog korisnika registrovanog na mreži.
Sistem detekcije i zaštite od upada (IDS/IPS)
ICS koristi IPS/IDS sistem otvorenog koda - Suricata (multitasking, visokih performansi, podržava upotrebu GPU-a u IDS modu, omogućava obradu saobraćaja do 10Gbita). ICS CUB omogućava otkrivanje činjenica neovlašćenog pristupa mreži ili prekomerne sumnjive mrežne aktivnosti korisnika.
ICS sistem za sprečavanje upada funkcioniše tako što obezbeđuje dostupnost internim i objavljenim servisima. Internet Control Server bilježi i pohranjuje informacije o sumnjivim aktivnostima, blokira botnetove, Dos napade, kao i TOR, anonimizatore, p2p i torrent klijente.
Mrežni promet se prati u realnom vremenu, a kada se otkrije prijetnja, poduzimaju se različite mjere: resetovanje veze, evidentiranje otkrivenih potpisa ili prolazak saobraćaja. IPS defragmentira pakete, preuređuje TCP pakete kako bi ih zaštitio od paketa sa modifikovanim SEQ i ACK brojevima.
Siguran VPN
VPN u ICS CUB-u je virtuelna privatna mreža koja vam omogućava da kombinujete korisnike koji su fizički udaljeni jedni od drugih (slobodnjaci, strukturne jedinice u različitim uredima, partneri, zaposlenici koji rade na daljinu) u jednu logičku mrežu. Unatoč činjenici da se prijenos podataka vrši putem vanjske javne mreže, sigurnost veze i prijenosa podataka osigurava logička mreža korištenjem super enkripcije.
IKS KUB podržava sljedeće vrste daljinskih veza: PPTP, L2TP, PPoE, GRE/IPIP, OpenVPN.
Stabilna i sigurna VPN-veza na Internet Control Server omogućava vam rješavanje hitnih problema u realnom vremenu, čak i nakon radnog vremena.
Univerzalni uređaj Objedinjeno upravljanje prijetnjama, inače nazvan UTM-sistem, kreiran je da osigura sigurnost računara. Njegova upotreba za zaštitu digitalnih podataka počela je 2004. godine, pošto konvencionalni tipovi zaštitnih zidova više nisu mogli da se nose sa sve sofisticiranijim mrežnim napadima. Objedinjeno upravljanje prijetnjama je modifikacija standardnog firewall-a, te stoga uključuje funkcije koje imaju za cilj osiguranje zaštite ličnih podataka. To postaje moguće zahvaljujući uključivanju zadataka pretraživanja u UTM rješenje, kao i prevenciji mrežnih prijetnji, antivirusa, firewall-a i VPN-a.
Po prvi put, termin "Unified Thread Management" upotrijebio je IDC, kompanija koja se bavi istraživanjem telekomunikacija i globalnih informacionih tehnologija. Glavna prednost UTM-a je što je sistem jedinstven kompleks koji istovremeno obavlja sve funkcije potrebne korisniku: antivirus, filter sadržaja, IPS - servisi za sprečavanje upada i mrežnih napada, što je mnogo praktičnije i efikasnije od administriranja nekoliko uređaja u isto vrijeme.
UTM arhitektura
UTM se može implementirati i kao softversko rješenje (instaliran na namjenskom serveru ili kao virtuelna mašina), i kao softversko-hardverski kompleks. U potonjem slučaju, za proračune se ne koristi samo centralni procesor opšte namene, već i određeni broj specijalnih procesora. Zahvaljujući ovom svojstvu, brzina UTM gateway-a može doseći 1Gbps i više.
Procesor sadržaja
Dizajniran za brzu obradu sumnjivih mrežnih paketa, kao i arhiviranih datoteka i njihovo poređenje sa onim vrstama prijetnji koje su već pohranjene u memoriji. Promet se ne obrađuje direktno preko mreže, već iz CPU-a opće namjene, što ubrzava brzinu računanja operacija koje su logično povezane s IPS-om i antivirusnim servisom.
Mrežni procesor
Obavlja brzu obradu mrežnih tokova, smanjujući opterećenje na drugim komponentama sistema. Takođe vrši šifrovanje, prevođenje mrežnih adresa i obradu TCP segmenata. U stanju je izračunati prijetnju čak i kada su podaci fragmentirani kako bi zaobišli sigurnosne usluge, njihovim sortiranjem izračunava pravu svrhu konačnog paketa podataka.
Sigurnosni procesor
Može značajno poboljšati performanse antivirusnih usluga, prevencije gubitka podataka i IPS (prevencija mrežnog upada). Preuzima složene zadatke, čime značajno rasterećuje CPU.
Softverske komponente
Firewall
Višeslojni zaštitni zid štiti korisnika od napada ne samo na nivou mreže, već i na nivou aplikacije: pristup internim podacima se vrši tek nakon autentifikacije, omogućavajući pristup samo ovlaštenim korisnicima; moguće je kreirati različite nivoe prava pristupa za različite korisnike. Postoji podrška za NAT prevođenje mrežnih adresa bez otkrivanja interne arhitekture mreže organizacije.
IPSEC VPN
Omogućava brzo i jednostavno kreiranje sigurnih VPN mreža - na osnovu domene šifriranja ili pravila rutiranja - na taj način kombinirajući funkcije šifriranja, autentifikacije i kontrole pristupa. Omogućava vam bezbedno povezivanje udaljenih korisnika, objekata, mreža.
URL filtriranje
Filtriranje neželjenih stranica uskraćivanjem pristupa zaposlenima određenoj listi web stranica. Omogućava vam rad sa velikim bazama URL-ova, moguće ih je podijeliti po vrsti sadržaja. Moguće je kreirati bijele ili crne liste za pojedinačne korisnike ili servere.
Antivirus i antispam
Skeniranje na viruse se dešava čak i prije nego što stignu do hard diska korisnika - na sigurnosnom prolazu. Obično su podržani najčešće korišćeni protokoli POP3/IMAP4, FTP, HTTP, SMTP. Osim toga, antivirus obično može skenirati komprimirane datoteke.
Spam se blokira ispitivanjem reputacije IP adrese sa koje je poruka primljena, kao i provjerom usklađenosti primljenih paketa podataka sa crno-bijelim listama. Za poštu je obezbeđen IPS, koji je štiti od DDoS napada, napada prekoračenja bafera. Cijeli sadržaj pisma se skenira na prisustvo zlonamjernih kodova i programa.
Grupiranje
Uveden sa ciljem poboljšanja performansi firewall-a, što je postalo moguće zbog povećanja propusnog opsega i njegovog rasterećenja, ravnomjerne raspodjele opterećenja na računska jezgra. Pametna distribucija saobraćaja između redundantnih gateway-a omogućava postizanje visokog nivoa tolerancije grešaka i preusmeravanja saobraćaja u slučaju kvara sa jednog gateway-a na drugi.
Sigurno surfovanje webom
Ispituje trenutnu web sesiju na zlonamjerni kod. U stanju je da utvrdi ne samo prisustvo, već i nivo opasnosti izvršnog koda i blokira zlonamerni kod pre nego što stigne do računara korisnika. Može sakriti informacije o serveru u HTTP odgovoru, sprečavajući moguće mrežne napade.
Preduvjeti za izgled
S obzirom na sve veći broj mrežnih napada i hakovanja servera velikih kompanija i korporacija, postalo je očigledno da je neophodno implementirati UTM gatewaye koji će odbiti prodor virusa i crva u sistem.
Danas postoji mnogo načina za hakovanje slabo zaštićenih sistema. Glavni problemi sa kojima se susreću savremene kompanije su nedostatak sigurnosti internih podataka, kao i neovlašćen pristup informacijama sopstvenih zaposlenih. Nedostatak sigurnosti podataka rezultat je velikih novčanih gubitaka. Međutim, tek relativno nedavno korporacije su počele da uviđaju potrebu kontrole pristupa informacijama od strane zaposlenih u kompaniji, dok zanemarivanje specijalizovanih alata za zaštitu podataka unutar mreže dovodi do otkrivanja i kompromitovanja poverljivih podataka.
Svrha UTM rješenja je pružiti cijeli niz aplikacija potrebnih za zaštitu podataka od trećih strana. Jednostavni i laki za upotrebu, UTM sistemi se stalno razvijaju, što im omogućava da odgovore na sve složenije mrežne napade i da ih brzo eliminišu.
UTM rješenja imaju analog u obliku firewall-a sljedeće generacije, ili NGFW (next generation firewall). Što se tiče funkcionalnosti, ovaj uređaj je vrlo sličan UTM-u, ali nije razvijen za srednja preduzeća, kao što je to bio slučaj sa Unified prijetnjama, već za velike kompanije. U početku su kreatori NGFW-a pokušali da u njemu kombinuju filtriranje portova i protokola, obezbeđujući funkcionalnost zaštite od mrežnih napada i mogućnost analize saobraćaja na nivou aplikacije.
UTM tržište danas
Prema najnovijem istraživanju tržišta, UTM tržište će porasti za oko 15 posto tokom 2016-2020. Glavni dobavljači UTM rješenja:
- Dell zvučni zid
- Cisco (Cisco ASA -X)
- Check Point Software Technologies
- Juniper Networks
- Kerio (kupio GFI)
Domaći programeri UTM rješenja:
- A-Real (Internet Control Server)
- Smart-Soft (TrafficInspector)
UTM: kompletna rješenja
Upotreba mrežnih rješenja za obavljanje samo jedne funkcije prestala je biti opravdana zbog složenosti upravljanja i međusobnog integrisanja i povezanih vremenskih i finansijskih resursa. Danas, mrežna sigurnost zahtijeva integrirani pristup, kombinirajući funkcionalnost sistema koji su ranije radili odvojeno. Ovo osigurava visoku produktivnost i optimalno rješavanje problema, brže - i efikasnije.
Posjedovanje jednog UTM rješenja umjesto nekoliko različitih uređaja olakšava upravljanje strategijom mrežne sigurnosti kompanije. Sve komponente UTM gateway-a su konfigurisane sa jedne konzole - ranije je to zahtevalo nekoliko slojeva softvera i hardvera.
U preduzećima sa udaljenim kancelarijama i serverima, UTM rešenja obezbeđuju centralizovano upravljanje i zaštitu udaljenih mreža.
Dostojanstvo
Smanjenje broja uređaja koji se koriste;
Smanjenje obima korišćenog softvera i finansijskih troškova za njegovu podršku;
Jednostavne i intuitivne kontrole. Razna podešavanja, web interfejs i proširiva arhitektura;
Brža obuka osoblja zahvaljujući upotrebi samo jednog uređaja.
Nedostaci
UTM je rješenje za jednu tačku kvara, ali neka rješenja podržavaju grupisanje;
Ako UTM sistem ne podržava maksimalnu brzinu mrežnih podataka, može doći do utjecaja na mrežnu propusnost i vrijeme odgovora.
). Naš blog ćemo započeti kratkim uvodom u Check Point tehnologije.
Dugo smo razmišljali da li da napišemo ovaj članak, jer u njemu nema ničeg novog što se ne može naći na internetu. Međutim, i pored tolikog obilja informacija u radu sa klijentima i partnerima, često čujemo ista pitanja. Stoga je odlučeno da se napiše uvod u svijet Check Point tehnologija i otkrije suština arhitekture njihovih rješenja. I sve to u okviru jednog "malog" posta, da tako kažem, brze ekskurzije. Štaviše, trudićemo se da ne ulazimo u marketinške ratove, jer mi nismo dobavljač, već samo sistem integrator (iako jako volimo Check Point) i samo gledamo glavne tačke bez upoređivanja sa drugim proizvođačima (kao što su Palo Alto, Cisco, Fortinet, itd.). Članak se pokazao prilično obimnim, ali je odsjekao većinu pitanja u fazi upoznavanja s Check Pointom. Ako ste zainteresovani, dobrodošli u mačku...
UTM / NGFW
Kada započnete razgovor o Check Pointu, prva stvar koju treba početi je objašnjenje šta su UTM, NGFW i po čemu se razlikuju. To ćemo učiniti vrlo sažeto kako post ne bi ispao predugačak (možda ćemo u budućnosti ovo pitanje razmotriti malo detaljnije)
UTM - Unified Threat Management
Ukratko, suština UTM-a je konsolidacija višestrukih zaštita u jednom rješenju. One. sve u jednoj kutiji ili neka vrsta all inclusive. Šta se podrazumijeva pod "višestrukim lijekovima"? Najčešće opcije su: Firewall, IPS, Proxy (filtriranje URL-a), streaming Antivirus, Anti-Spam, VPN i tako dalje. Sve je to objedinjeno u okviru jednog UTM rješenja, koje je lakše u smislu integracije, konfiguracije, administracije i nadzora, a to se zauzvrat pozitivno odražava na ukupnu sigurnost mreže. Kada su se UTM rješenja prvi put pojavila, razmišljala su isključivo o malim kompanijama, jer UTM-ovi nisu bili u stanju podnijeti velike količine saobraćaja. Ovo je bilo iz dva razloga:
- Metoda rukovanja paketima. Prve verzije UTM rješenja obrađivale su pakete sekvencijalno, sa svakim “modulom”. Primjer: prvo paket obrađuje zaštitni zid, zatim IPS, zatim ga Anti-Virus provjerava i tako dalje. Naravno, takav mehanizam je uveo ozbiljna kašnjenja u prometu i veliku potrošnju sistemskih resursa (procesor, memorija).
- Slabo "gvožđe". Kao što je gore pomenuto, sekvencijalna obrada paketa je trošila resurse i hardver tog vremena (1995-2005) jednostavno nije mogao da se nosi sa velikim prometom.
Ispod je poznati Gartner magični kvadrant za UTM rješenja za avgust 2016:
Neću previše komentarisati ovu sliku, samo ću reći da su lideri u gornjem desnom uglu.
NGFW - Firewall sljedeće generacije
Ime govori samo za sebe - firewall nove generacije. Ovaj koncept se pojavio mnogo kasnije od UTM-a. Glavna ideja NGFW-a je duboka analiza paketa (DPI) koristeći ugrađeni IPS i kontrolu pristupa na nivou aplikacije (Application Control). U ovom slučaju, IPS je upravo ono što je potrebno da bi se identifikovala aplikacija u toku paketa, što omogućava da se ona dozvoli ili odbije. Primjer: Možemo dozvoliti Skype-u da radi, ali zabraniti prijenos datoteka. Možemo zabraniti upotrebu Torrenta ili RDP-a. Podržane su i web aplikacije: Možete dozvoliti pristup VK.com, ali blokirati igre, poruke ili gledanje videa. U osnovi, kvalitet NGFW ovisi o broju aplikacija koje može definirati. Mnogi vjeruju da je pojava koncepta NGFW bila uobičajen marketinški trik protiv kojeg je Palo Alto započeo svoj brzi rast.
Gartner Magic Quadrant za NGFW za maj 2016:
UTM vs NGFW
Vrlo često pitanje je šta je bolje? Definitivnog odgovora ovdje nema i ne može biti. Pogotovo imajući u vidu činjenicu da skoro sva moderna UTM rješenja sadrže NGFW funkcionalnost, a većina NGFW-ova sadrži karakteristike specifične za UTM (Antivirus, VPN, Anti-Bot, itd.). Kao i uvijek, „đavo je u malim stvarima“, stoga, prije svega, morate odlučiti šta vam je konkretno potrebno, da odlučite o budžetu. Na osnovu ovih odluka može se odabrati nekoliko opcija. I sve treba nedvosmisleno testirati, ne vjerujući marketinškim materijalima.
Zauzvrat, u okviru nekoliko članaka, pokušat ćemo vam reći o Check Pointu, kako ga možete isprobati i šta, u principu, možete isprobati (skoro sve funkcionalnosti).
Tri Check Point entiteta
Kada radite sa Check Pointom, sigurno ćete naići na tri komponente ovog proizvoda:
Operativni sistem Check Point
Govoreći o operativnom sistemu Check Point, možete se prisjetiti tri odjednom: IPSO, SPLAT i GAIA.
- IPSO- operativni sistem kompanije Ipsilon Networks, koji je bio u vlasništvu Nokije. Check Point je kupio posao 2009. godine. Ne razvija se više.
- SPLAT- Sopstveni razvoj kompanije Check Point, baziran na RedHat jezgru. Ne razvija se više.
- Gaia- aktuelni operativni sistem kompanije Check Point, koji je nastao kao rezultat spajanja IPSO-a i SPLAT-a, koji u sebi sadrži sve najbolje. Pojavio se 2012. godine i nastavlja se aktivno razvijati.
Opcije izvršenja (Check Point Appliance, Virtuelna mašina, OpenSerever)
Ovdje nema ništa iznenađujuće, jer mnogi dobavljači Check Point imaju nekoliko opcija proizvoda:
Opcije implementacije (Distribuirano ili samostalno)
Iznad smo već raspravljali o tome šta su gateway (SG) i server za upravljanje (SMS). Sada razgovarajmo o opcijama za njihovu implementaciju. Postoje dva glavna načina:
Kao što sam već rekao, Check Point ima sopstveni SIEM sistem - Smart Event. Možete ga koristiti samo u slučaju Distribuirane instalacije.
Načini rada (most, rutirani)
Security Gateway (SG) može raditi u dva glavna načina:
- Routed- najčešća opcija. U ovom slučaju, gateway se koristi kao L3 uređaj i usmjerava promet kroz sebe, tj. Check Point je podrazumevani gateway za zaštićenu mrežu.
- Most- transparentan način rada. U ovom slučaju, gateway je instaliran kao običan "most" i propušta saobraćaj kroz sebe na drugom sloju (OSI). Ova opcija se obično koristi kada ne postoji mogućnost (ili želja) za promjenom postojeće infrastrukture. Praktično ne morate mijenjati topologiju mreže i ne morate razmišljati o promjeni IP adresiranja.
Check Point Software Blades
Došli smo do gotovo najvažnije Check Point teme, koja izaziva najviše pitanja kupaca. Šta su ovi “softverski blejdovi”? Oštrice se odnose na specifične karakteristike Check Point-a.
Ove funkcije se mogu uključiti ili isključiti ovisno o potrebama. Istovremeno, postoje blejdovi koji se aktiviraju isključivo na gateway-u (Network Security) i samo na serveru za upravljanje (Management). Slike ispod prikazuju primjere za oba slučaja:
1) Za mrežnu sigurnost(funkcionalnost gatewaya)
Opišimo ukratko, pošto svaka oštrica zaslužuje poseban članak.
- Firewall - funkcionalnost zaštitnog zida;
- IPSec VPN - izgradnja privatnih virtuelnih mreža;
- Mobilni pristup - daljinski pristup sa mobilnih uređaja;
- IPS - Sistem za sprečavanje upada;
- Anti-Bot - zaštita od botnet mreža;
- AntiVirus - streaming antivirus;
- AntiSpam & Email Security - zaštita korporativne pošte;
- Identity Awareness - integracija sa Active Directory;
- Monitoring - praćenje gotovo svih parametara gatewaya (opterećenje, propusni opseg, VPN status, itd.)
- Kontrola aplikacija - zaštitni zid aplikacijskog sloja (NGFW funkcionalnost);
- Filtriranje URL-a - Web sigurnost (+ proxy funkcionalnost);
- Prevencija gubitka podataka - zaštita od curenja informacija (DLP);
- Threat Emulation - sandbox tehnologija (SandBox);
- Threat Extraction - tehnologija čišćenja datoteka;
- QoS - prioritet saobraćaja.
2) Za menadžment(funkcionalnost servera za upravljanje)
- Upravljanje mrežnom politikom - centralizovano upravljanje politikama;
- Endpoint Policy Management - centralizovano upravljanje Check Point agentima (da, Check Point proizvodi rešenja ne samo za zaštitu firewall-a, već i za zaštitu radnih stanica (PC) i pametnih telefona);
- Logging & Status - centralizirano prikupljanje i obrada trupaca;
- Management Portal - upravljanje sigurnošću iz pretraživača;
- Tok posla - kontrola promjena politike, revizija promjena, itd.;
- Korisnički imenik - integracija sa LDAP-om;
- Obezbeđivanje - automatizacija upravljanja gateway-om;
- Smart Reporter - sistem izvještavanja;
- Smart Event - analiza i korelacija događaja (SIEM);
- Usklađenost - automatska provjera postavki i izdavanje preporuka.
Blade arhitektura vam omogućava da koristite samo funkcije koje su vam zaista potrebne, što utiče na budžet rješenja i ukupne performanse uređaja. Logično je da što više blejdova aktivirate, to manje saobraćaja možete „trčati“. Zbog toga je sljedeća tabela performansi priložena svakom Check Point modelu (na primjer, uzeli su karakteristike modela 5400):
Kao što vidite, postoje dvije kategorije testova: na sintetičkom prometu i na stvarnom - mješovitom. Uopšteno govoreći, Check Point je jednostavno primoran da objavljuje sintetičke testove. neki dobavljači koriste takve testove kao benchmark, bez ispitivanja performansi svojih rješenja u stvarnom prometu (ili namjerno skrivajući takve podatke jer su nezadovoljavajući).
U svakoj vrsti testa primijetit ćete nekoliko varijacija:
- test samo za zaštitni zid;
- Firewall + IPS test;
- Firewall + IPS + NGFW (kontrola aplikacije) test;
- Vatrozid + Kontrola aplikacija + URL filtriranje + IPS + Antivirus + Anti-Bot + SandBlast test (sandbox)
Mislim da bi ovo mogao biti kraj uvodnog članka o Check Point tehnologijama. Zatim ćemo pogledati kako možete testirati Check Point i kako se nositi sa modernim prijetnjama sigurnosti informacija (virusi, phishing, ransomware, zero-day).
P.S. Važna tačka. Uprkos stranom (izraelskom) porijeklu, rješenje je ovjereno u Ruskoj Federaciji od strane nadzornih organa, čime se automatski legalizira njihovo prisustvo u državnim institucijama (komentar.).
