Arhitectură de securitate de ultimă generație

PEISAJUL SECURITĂȚII CIBERNETICE

Atacurile cibernetice au devenit din ce în ce mai sofisticate, ducând la APT (Amenințări Persistente Avansate). APT reprezintă un set de procese ce implică atacuri continue și greu de depistat ce țintesc o entitate specifică. Scopul lor este de a injecta coduri malițioase necunoscute în mai multe calculatoare și de a rămâne nedetectate o perioadă de timp îndelungată, pentru a fura date și a le exporta din rețeaua victimei. Codurile malițioase sunt unice și dezvoltate pentru a ataca o țintă bine definită, prin exploatarea unor vulnerabilități specifice. Organizațiile se confruntă cu zeci de mii de mostre de malware noi la fiecare oră.

Pentru ca atacul cibernetic să fie unul reușit, dezvoltarea de malware necesită profesioniști extrem de bine pregătiți. Acest lucru se confirmă prin faptul că dezvoltarea de malware și exploit-uri este recompensată pe piața neagră cu cifre între $2500 și $300.000, ducând la o piață totală estimată în jur de $450B - $1T. Considerând oferta, există în mod clar și o cerere ridicată pentru aceasta.

Pentru a ne proteja împotriva atacurilor cibernetice prezente și viitoare, trebuie construită o arhitectură de securitate cu inteligență integrată. Această inteligență este rezultată din procesarea și analiza avansată a unui set de date vast și complex, ce oferă o imagine în detaliu asupra stării de securitate a organizației prin prisma atacurilor curente din Internet.

MAI MULTE DETALII

 

 

ABORDAREA ARHITECTURII DE SECURITATE A INFORMAȚIEI

Majoritatea soluțiilor de securitate informatică din ziua de astăzi se concentrează pe vizibilitate și blocare la momentul intrării pentru a proteja sistemele. Metodele de securitate nu se pot concentra doar pe detectare, ci trebuie să includă și capacitatea de a aplana impactul atunci când un atacator reușește să intre. Organizațiile trebuie să își privească modelul de securitate ca un întreg și să obțină vizibilitate și control pentru întreaga rețea de date și pentru întregul continuum al atacului: înainte ca un atac să aibă loc, în timpul acestuia și chiar și după ce începe să dăuneze sistemelor sau să fure informații:

ÎNAINTE

Sunt necesare o conștientizare și o vizibilitate completă privind ceea ce se află în rețeaua extinsă pentru a implementa politicile și controalele potrivite pentru a o apăra. Ca „standard”, Gartner descrie aceste tipuri de capacități drept „predictive” și „preventive”.

Înaintea unui atac:
• Trebuie să știți ce se află în rețea pentru a o putea apăra (dispozitive, utilizatori, servicii, aplicații) și pentru a implementa controale la acces, precum și pentru a instala politici și aplicații de blocare și acces general la bunuri;
• Totuși, politicile și controlul reprezintă doar un punct de pornire, o piesă mică, dar importantă, din ce trebuie să se întâmple. Aceasta va reduce suprafața atacului, dar vor exista încă portițe pe care persoanele rău-intenționate le vor găsi. Atacatorii vor încerca să găsească orice lacună în apărare și să o exploateze pentru a-și atinge obiectivele.
 

ÎN TIMPUL

Capacitatea de a detecta în mod continuu elementele de malware și de a le bloca este critică. Ca „standard”, Gartner descrie aceste tipuri de capacități ca „preventive” și „de detecție”.

În timpul atacului:

• Trebuie să dețineți cea mai bună detecție posibilă a amenințărilor necunoscute;
• Atunci când atacul este detectat, blocați-l pentru a vă proteja afacerea.
 

DUPĂ

Avem nevoie de securitate retrospectivă pentru a marginaliza impactul unui atac prin identificarea punctului de intrare, determinarea zonei afectate, limitarea amenințării, eliminarea riscurilor de reinfestare și, în fine,  remediere. Ca „standard”, Gartner descrie aceste tipuri de capacități ca „de detecție” și „de răspuns”.

După atac:
• În mod invariabil, unele atacuri vor fi reușite, astfel că va trebui să puteți determina întinderea daunelor, să limitați evenimentul, să remediați și să readuceți operațiunile la normalitate. Aceste lucruri trebuie realizate cât mai repede posibil, în mod ideal automat, căci după ce datele au fost furate, durează doar câteva minute/ore până ce acestea să fie transmise mai departe;
• De asemenea, trebuie să abordați o gamă largă de vectori de atac, cu soluții care acționează oriunde se poate manifesta amenințarea: în rețea, la punctele terminale, pe dispozitivele mobile, în mediile virtuale.

Dat fiind că peisajul amenințărilor din ziua de astăzi este plin de atacuri cibernetice cu malware avansat și de tipul „zero day”, tehnologiile punctuale nu sunt suficiente. Acestea nu fac altceva decât să alimenteze o problemă de complexitate, să creeze lacune de securitate, ca să nu mai vorbim despre faptul că îngreunează mult evaluarea în conformitate cu modelele de afaceri noi și în continuă schimbare.

Arhitectura de securitate informatică necesită o protecție avansată completă contra amenințărilor, care să acopere întregul continuum al atacului, precum și un set extins de opțiuni de aplicare și remediere. Toate componentele arhitecturii trebuie să se integreze cu soluția de control al accesului, pentru a schimba în mod dinamic și automat autorizarea unui dispozitiv sau utilizator în baza posturii sale actuale de securitate în timp real.

Datanet Systems este partener certificat Cisco Gold și VMware Enterprise, iar echipa sa de experți în securitate este capabilă să creeze, să livreze, să implementeze și să optimizeze o arhitectură de securitate completă pentru companii mijlocii și mari și pentru organizațiile din sectorul public. În diagramele de mai jos vom prezenta componentele principale ale unei arhitecturi de securitate moderne alcătuită din produse Cisco și AirWatch.

Dacă sunteți interesați să implementați o astfel de arhitectură de securitate în organizația dumneavoastră, vă rugăm să ne trimiteți un e-mail la adresa cybersecurity@datanets.ro sau să completați formularul de contact din această pagină. Experții noștri în securitate vă vor contacta imediat pentru a vă răspunde cerințelor.

 

 

CONTROLUL ACCESULUI ȘI VIZIBILITATE ÎN REȚEAUA CENTRALIZATĂ

În securitatea tradițională, protecția era îndreptată către dispozitivele unde erau localizate datele, cum ar fi desktop/laptop și sistemele de operare de pe server. Totuși, există mult mai multe dispozitive conectate la rețea, cum ar fi dispozitive mobile, telefoane cu IP, camere de supraveghere video, imprimante, iar niciunul dintre acestea nu are un sistem de operare creat pentru a fi sigur, ci pentru a fi cât mai ușor de utilizat. De asemenea, în contextul IoT (Internet of Things) și IoE (Internet of Everything), din ce în ce mai multe astfel de dispozitive sunt conectate la rețea: ceasuri inteligente, mașini inteligente, stâlpi de iluminat inteligenți. Toate acestea devin vectori de atac, fiind vizate din cauza lipsei inerente de siguranță și fiind folosite de către atacatori doar pentru a obține acces în interior. Imediat ce obțin acces la partea „sigură” a rețelei, vor pune mâna pe date.

Având în vedere această realitate, devine critică autentificarea și autorizarea întregului access la rețea, pentru toți utilizatorii și toate dispozitivele, indiferent de tipul și de metoda de conectare: prin fir, fără fir, VPN. Acest lucru trebuie să se realizeze la nivel de rețea, întrucât la nivel de rețea se aplică și politica de securitate și doar ISE, motorul de servicii pentru identitate al Cisco, poate oferi aceste capacități:

• ”Managementul accesului oaspeților” ce poate fi măsurat, este flexibil și ușor de folosit, cu acces limitat la rețea;
• Dispozitive BYOD în stare perfectă și sigură cu nivelul corect de acces la rețea;
• Politică de control a accesului la rețea unificată pentru orice dispozitiv, din orice punct de acces, cu acces la rețea contextual și restricționat;
• Segmentare centralizată în baza unei rețele ce urmărește comportamentul utilizatorilor, cu politici de securitate construite pe aplicații și servicii pentru a dimensiona și asigura securitatea.
 

 

 

SECURIZAREA FLOTEI MOBILE

Toate companiile folosesc platforme pentru dispozitive mobile, în principal telefoane inteligente și tablete, pentru a fi mai productive și mai eficiente. Deși acestea nu mai sunt o opțiune, ci o necesitate, ele introduc și un nou vector de atac, atacurile cu malware pe dispozitivele mobile crescând exponențial în fiecare lună. Două dintre cele mai utilizate platforme mobile sunt principalele ținte de malware, și anume iOS și Android, în care majoritatea aplicațiilor gratuite și cu plată sunt cunoscute pentru conținutul de malware sau pentru vulnerabilitatea la exploituri.

Pentru a rămâne în siguranță, trebuie utilizată o soluție de Management al mobilității întreprinderii, cum ar fi AirWatch, care acoperă toate capacitățile critice de protecție:

• Securitatea de bază a dispozitivelor, cum ar fi protecția împotriva spargerilor, politica pentru coduri PIN, disponibilitatea camerei foto, ștergerea de la distanță;
• Acceptarea și refuzarea aplicațiilor permise spre a fi instalate pe dispozitive, reducând astfel întinderea elementelor de malware;
• Integrarea unei locații sigure unde toate datele sensibile/corporative să fie stocate, criptate și protejate împotriva accesului neautorizat din partea altor aplicații sau componente ale sistemului de operare;
• Integrarea unui client de e-mail securizat și compartimentat pentru a oferi o separare completă între datele întreprinderii și cele personale;
• VPN pentru fiecare aplicație, pentru a controla care aplicații de pe dispozitivele mobile pot trimite date printr-un tunel VPN, permițând astfel doar aplicațiilor curate să acceseze rețeaua.

 

 

SECURIZAREA PUNCTELOR DE ACCES

Atacatorii au nevoie de acces la rețelele de date ale companiilor pentru a injecta elementele malițioase și pentru a fura date, dar și pentru a le prelua din rețea. Există trei astfel de puncte, care permit acces bidirecțional la și de la rețea și unde trebuie integrate securități inteligente: firewall, web și e-mail.

Un firewall NG trebuie să ofere atât capacități de firewall clasice, cum ar fi disponibilitatea mare și comasarea (clustering), capacități de rutare/schimbare și VPN, dar cel mai important trebuie să acopere toate cele trei faze ale atacului:

• Să integreze Sistemul NG de prevenire a intruziunii, care poate să coreleze în timp real cantități mari de evenimente, să protejeze împotriva celor mai recente amenințări și să ofere o evaluare automatizată a impactului evenimentului prin intermediul unei analize a comportamentului rețelei;
• Să integreze Filtrarea URL pentru a limita accesul la Internet și pentru a reduce amploarea atacului;
• Să realizeze vizibilitatea și controlul aplicațiilor, întrucât datele sunt de obicei „scurse” prin tuneluri pe porturi TCP 80 și 443; trebuie create reguli de firewall în baza identității utilizatorilor și aplicațiilor folosite;
• Să descopere punctele terminale, sistemele de operare și aplicațiile în rulare pentru a elimina rezultatele pozitive false, pentru a bloca și elimina amenințările, pentru a oferi alerte și IoC (Indicatori de compromis);
• Să integreze accesul VPN cu Cisco ISE pentru politica unificată de control al accesului la rețea și postura de securitate a dispozitivelor în timp real;
• Să integreze protecția avansată contra malware cu analize și activitățile de sandboxing pentru volume mari de date pentru a descoperi amenințările necunoscute și a proteja împotriva acestora;
• Să ofere management centralizat pentru toate componentele și să colaboreze cu ISE pentru remediere automată atunci când punctele terminale au fost descoperite ca fiind compromise.

 

Accesul la Internet trebuie să fie controlat și securizat la nivel central, indiferent de tipul de punct terminal (fix sau mobil) sau de locația sa fizică (în interiorul sau în exteriorul rețelei). O platformă de securitate web de ultimă generație oferă nu doar servicii proxy, ci este de asemenea capabilă să integreze în mod transparent în același timp un model de securitate pentru a acoperi toate cele trei faze ale atacului:

• În faza dinainte, accesul web este controlat prin identitatea utilizatorului semnalată de Cisco ISE și securizat prin folosirea politicilor bazate pe aplicații cu acces restrictiv în baza filtrării URL statice și a filtrării dinamice bazate pe reputație;
• În faza din timpul accesului, conținutul este analizat dinamic pentru a descoperi comportamentul suspect, este inspectat în paralel de mai multe motoare anti-malware pentru a descoperi atacurile cunoscute, dându-se în același timp un verdict inițial de curat sau malițios prin AMP (Protecție avansată contra malware) care detectează atacurile până atunci necunoscute;
• În faza de după, AMP integrat cu CTA (Analiză cognitivă a amenințărilor), pentru a oferi sandboxing, o analiză continuă în retrospectivă a fișierelor și pentru a identifica dacă într-adevăr verdictul inițial de curat trebuie schimbat în malițios.

 

E-mailul rămâne încă un vector de atac foarte eficient, întrucât este mai ușor să se transmită un malware către utilizator în acest fel, sau să se lanseze atacuri punctuale prin direcționarea utilizatorului către o resursă web care pare să conțină informații interesante care, de fapt, ascund malware. Un gateway pentru e-mail de ultimă generație oferă nu doar funcționalitate SMTP și protecție de bază contra spam, ci este și capabil să acopere cu succes toate cele trei faze ale atacului:

• În faza dinainte, accesul la e-mail este restricționat în baza identității utilizatorului, reputației de gateway cu SMTP dinamic și filtrelor statice;
• În faza din timpul accesului, conținutul este inspectat în paralel de mai multe motoare anti-malware pentru a descoperi atacurile cunoscute, fiind scanat prin AMP pentru atacuri necunoscute; e-mailul este trimis în carantină dacă se identifică drept malware sau dacă este suspect a fi malware, prin filtre dinamice;
• În faza de după, activitatea de accesare a utilizatorului este monitorizată pentru a descoperi atacurile de tip phishing, în timp ce AMP oferă sandboxing și analiză continuă retrospectivă a fișierelor pentru a identifica malware-ul inactiv.

 

SECURITATE ORIUNDE CU PROTECȚIE AVANSATĂ CONTRA MALWARE

Majoritatea uneltelor de securitate din ziua de astăzi se concentrează pe vizibilitate și pe blocare la punctul de intrare pentru a proteja sistemele. Acestea scanează fișierele o dată la momentul inițial pentru a determina dacă sunt malițioase. Dar atacurile avansate nu au loc într-un singur moment; acestea sunt continue și necesită atenție continuă. Adversarii de astăzi folosesc tactici cum ar fi schimbarea porturilor, încapsulare, atacuri de tip „zero day”, evitarea detectării traficului de comandă și control (C&C), tehnici de repaus, mișcări laterale, trafic criptat, amenințări combinate și sisteme sandbox, pentru a nu fi observați de sistemele de detecție. Dacă fișierul nu este prins sau dacă evoluează și devine malițios după intrarea în mediu, tehnologiile de detectare într-un anumit moment încetează să mai fie utile în a identifica activitățile dezvoltate ulterior de către atacator. Protecția avansată contra malware asigurată de Cisco oferă această monitorizare și analiză continuă și poate să detecteze elementele de malware atunci când devin active, întrucât inițial acestea sunt doar lansate, dar par sigure.

AMP este necesară în mai multe locuri în rețea, în baza designului general:

• La nivel NGFW, întrucât întregul trafic de la/către Internet se realizează pe aici;
• La nivel de gateway web, întrucât este singurul dispozitiv care poate decripta activ și transparent traficul HTTPS pentru inspectare;
• La nivel de gateway pentru e-mail, întrucât traficul între gateway-urile SMTP pot folosi TLS, ceea ce înseamnă că doar gateway-ul SMTP are acces la e-mailuri cu text clar pentru inspectare.

 

Totuși, este foarte important să instalați AMP la punctul terminal, din mai multe motive:

• Deși obiectivul unui atac este să fure și să „scurgă” date, punctele terminale/utilizatorii sunt ținta atacului întrucât acesta este singurul punct de legătură între Internet și datele sensibile;
• Traficul VPN, ca IPsec sau SSL, și unele aplicații, ca Skype sau alte aplicații de telefonie video, sunt criptate și pot fi inspectate doar la punctul terminal, unde devin text clar;
• Fiind prezenți la punctul terminal, puteți face o detectare retrospectivă și o analiză continuă pentru a detecta elementele de malware inactive sau compuse.

 

 

POLITICA DE FIREWALL CENTRALIZATĂ

Considerând numărul în creștere de dispozitive per utilizator conectate la rețea (desktop, laptop, telefon inteligent, tabletă) și posibilitatea de conectare din mai multe locuri (din interiorul sau din exteriorul rețelei) prin mai multe metode (prin fir, fără fir, VPN), devine dificil și foarte costisitor să se construiască și să se mențină o politică de securitate corectă în baza adreselor de IP. De asemenea, pentru a limita și izola mai bine și mai repede un punct terminal compromis, trebuie controlate mișcările laterale, în care un utilizator/dispozitiv nu poate în mod implicit să acceseze resursele din același domeniu sigur (cum ar fi VLAN sau blocaj de rețea).

Întrucât Cisco ISE controlează întregul acces la rețea, acesta poate fi folosit și pentru a defini la nivel central un firewall pentru întreaga rețea și politici de securitate care vor fi descărcate și aplicate dinamic în anumite puncte specifice:

• ISE acordă o etichetă denumită SGT (Eticheta Grupului de Securitate) fiecărui dispozitiv căruia i se permite accesul la rețea, atunci când este identificat și analizat;
• Politicile și regulile de firewall sunt deci construite pe identitatea utilizatorului în ISE, indiferent de adresa IP acordată, dar luând în considerare dispozitivul folosit pentru a accesa rețeaua, precum și metoda de acces;
• Accesul se acordă utilizatorilor în baza aplicațiilor accesate, nu în baza adreselor IP sau numerelor de port;
• Un utilizator/dispozitiv poate primi acces diferențiat în baza posturii actuale de securitate, pe care ISE o identifică singur sau prin integrarea cu componente ale arhitecturii de securitate.

 

REȚEAUA VEDE TOT

Dat fiind comportamentul unic și complex al APT, devine obligatoriu să se integreze în arhitectura de securitate informatică o soluție ce oferă analiza comportamentului rețelei de date, vizibilitate pentru amenințări și informații de securitate informatică pentru a proteja împotriva principalelor amenințări din ziua de astăzi. Colectarea de date privind fluxurile din rețea permite stabilirea unui nivel de referință a funcționalității rețelei și construirea dinamică a politicilor legate de comportamentul corect în rețea, folosite pentru a detecta atacurile prin profile de comportament și crearea de modele statistice, inclusiv atacurile lente care nu încalcă nicio politică.

Soluția Lancope de la Cisco oferă toate acestea și reușește să acopere toate cele trei faze ale atacului. Cel mai important, atunci când un punct terminal este detectat ca fiind compromis, Lancope oferă răspuns imediat și automat:

• Permite trasarea atacului în cadrul organizației pentru a avea o vizibilitate imediată a zonelor compromise;
• Creează un traseu criminalistic al activității rețelei pentru a identifica modul în care a avut loc atacul și pentru a învăța cum să se apere mai bine pe viitor;
• Se integrează cu Cisco ISE pentru a semnala care puncte terminale au fost compromise pentru a acționa și a le izola imediat.

 

ISE ESTE CREIERUL

În cadrul arhitecturii de securitate, toate componentele trebuie să se integreze cu Cisco ISE, platforma centralizată pentru politici de acces la rețea. Întrucât ISE identifică toate dispozitivele și controlează întregul acces la rețeaua de date, acesta partajează informații contextuale cu alte produse de securitate pentru a oferi o mai bună vizibilitate legată de cine ce face în rețea. De asemenea, colectează informații despre starea de securitate a dispozitivelor conectate în timp real de la alte componente ale arhitecturii și schimbă automat autorizarea dispozitivelor neconforme sau compromise pentru a limita și elimina riscul de scurgeri de date. De exemplu:

• Se integrează cu platformele de Management al mobilității întreprinderii, pentru a controla accesul dispozitivelor mobile la rețeaua de date, în baza stării curente de securitate și conformității cu politica de securitate;
• Se integrează cu Platforma de management pentru firewall de ultimă generație a Cisco, FireSIGHT, pentru a schimba accesul punctelor terminale compromise detectate de AMP la rețeaua de date;
• Se integrează cu platforma Lancope a Cisco pentru a schimba autorizarea accesului în rețeaua de date dacă sunt detectate puncte terminale compromise;
• Se integrează cu o platformă SIEM (Managementul Informațiilor și Evenimentelor de Securitate) clasică pentru a schimba autorizarea de acces rețeaua de date dacă se detectează de către SIEM punctele terminale compromise.

 

Datanet Systems este partener Cisco Gold și VMware Enterprise, iar echipa sa de experți de securitate este capabilă să creeze, să livreze, să implementeze și să optimizeze o arhitectură de securitate completă pentru companii mijlocii și mari precum și pentru organizațiile din sectorul public. În această pagină am prezentat principalele componente ale unei arhitecturi de securitate moderne alcătuită din produse Cisco și AirWatch.

Dacă sunteți interesați să implementați o astfel de arhitectură în organizația dumneavoastră, vă rugăm să ne trimiteți un e-mail la adresa cybersecurity@datanets.ro sau să completați formularul de contact din această pagină.

Experții noștri în securitate vă vor contacta imediat pentru a răspunde solicitărilor dumneavoastră.

Vă mulțumim că ați vizitat www.datanets.ro !