вторник, 14 ноября 2017 г.

Пятницы с Palo Alto Networks. Анонс серии вебинаров.

Пятницы с Palo Alto Networks 

В Москве завершился Summit Palo Alto Networks 2017

После завершения конференции по многочисленным просьбам повторим наши презентации в виде вебинаров. Они будут проходит каждую пятницу в 10 утра начиная с 17 ноября. 

Дата
Время
Тема
Ссылка для регистрации
17 ноября
10:00 МСК
10 cамых частых ошибок в безопасности сетей
24 ноября
10:00 МСК
Что делать, если антивирус не работает. Traps Endpoint Protection
1 декабря
10:00 МСК
Какие вопросы нужно задавать вендору при выборе NGFW и песочницы
8 декабря
10:00 МСК
База индикаторов компрометации Autofocus, Minemeld. Threat Intelligence от аналитиков Palo Alto Networks Unit42
15 декабря
10:00 МСК
Aperture - защита облачных SaaS приложений, включая Office 365
22 декабря
10:00 МСК
Тактика и стратегия защиты сети от современных атак




Регистрируйтесь!

Сами презентации можно скачать тут, но это лишь 30% информации, которая будет на вебинаре.

четверг, 9 ноября 2017 г.

Разница между межсетевым экраном L4 и L7

Многим понравился мой слайд на саммите Palo Alto Networks 2 ноября про разницу межсетевых экранов L4 и L7.
Насколько информативны журналы, которые выдает L4-firewall? Вообще непонятно ничего. И это непонятное загоняют в коллекторы SIEM, для корреляции, чтобы хоть как-то разобраться. Проще всего посмотреть в журнал NGFW и эту аналитику уже удобно анализировать и сотруднику службы ИБ и аналитику в SIEM или SOC. А корреляция с индикаторами Threat Intelligence из базы Autofocus, которая также встроена в NGFW, еще больше насыщает журналы информацией для блокировки атаак и разбора инцидентов.

среда, 8 ноября 2017 г.

Напоминаю! Почта, это не только SMTP!

Существует народное поверье, формируемое некоторыми производителями, что защищать нужно только почту, которая идет по SMTP. Хакеры благодарны им конечно и заражают корпорации через электронные письма, которые сотрудники принимают по HTTPS, POP3 и IMAP. Такая типовая ошибка настолько распространена, что я вынужден написать об этом после очередного случая заражения. Напоминаю! Почта, это не только SMTP!

По информации аналитиков UNIT42, действительно, облачные песочницы Palo Alto Networks видят самым популярным приложением по доставке zero day именно SMTP, но это же не означает, что нужно игнорировать остальные приложения.




пятница, 13 октября 2017 г.

Что нужно делать после получения рассылки FinCERT

Часто спрашивают как заблокировать то, что перечислено в рассылке от FinCERT (ФинЦЕРТ) Центрального Банка РФ. 


В рассылке приходят:
1. хеши вредоносных файлов
2. email адреса - источники угрозы
3. IP адреса источников угрозы

Что нужно сделать после получения данной рассылки.


1. Проверить что ваш антивирус или песочница уже блокируют этот хеш. Если у вас есть оборудование с доступом к глобальной базе Threat Intelligence, то с большой вероятностью эта информация уже пришла в оборудование и все перечисленное блокируется.
Например, в Palo Alto Networks NGFW встроен антивирус и песочница, и хеш проверить можно на портале threatvault.paloaltonetworks.com/ - вы вводите в строку поиска хеш и получаете ответ в каком обновлении антивируса или песочницы пришла сигнатура. Например, проверим хеш F24B160E9E9D02B8E31524B8A0B30E7CDC66DD085E24E4C58240E4C4B6EC0AC2 - он есть в обновлениях антивируса и песочницы Wildfire (обновляется каждые 5 минут сигнатурами, которые обнаружили песочницы заказчиков PANW по всему миру)
 

2. Заблокировать email адреса на вашем почтовом сервере. Например, в Microsoft Exchange это команда 

Set-SenderFilterConfig -BlockedSenders hacker@cia.com,john@nsa.com

3. Заблокировать IP адреса на межсетевом экране. У вас наверняка есть какой-то адресный объект, в который вы просто добавите эти адреса. И для этого объекта в межсетевом экране должно быть правило для блокировки. У Palo Alto Networks NGFW такие же объекты уже готовые приходят в межсетевой экран из базы Threat Intelligence, которую можно посмотреть на портале autofocus.paloaltonetworks.com. Кроме того, можно использовать объект External Block List. Я предлагал уже на конференции ЦБ для банков в Магнитогорске использовать этот объект в самом FinCert. Это обычный текстовый файл с IP адресами. Межсетевому экрану нужно лишь указать где этот файл расположен (по какому URL). Пример есть на 6 слайде https://www.slideshare.net/ksiva/ss-72286073 (Роскомнадзор заблокировал slideshare, поэтому не у всех откроется). Сам пример привожу тут: 

Более подробное описание внешних списков блокировки тут: live.paloaltonetworks.com/t5/PAN-OS-8-0-Articles/PAN-OS-8-0-IP-Block-List-Feeds/ta-p/129616


пятница, 6 октября 2017 г.

Как настраивается защита от фишинга встроенная в Palo Alto Networks NGFW

Защита от фишинга встроенная в Palo Alto Networks NGFW сканирует отдаваемые сотрудниками логины и пароли на внешние сайты и сравнивает их с логинами организации. Если выявлены поддельные сайты где пытаются украсть логины и пароли сотрудников, то это блокируется. Как это настроить тут:

Настраивается в колонке User Credential Submission в настройках профиля URL фильтрации.


Информация о найденных кражах логинов отображается в журнале:

среда, 27 сентября 2017 г.

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ


КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ

Приглашаем Вас на ежегодное мероприятие по информационной безопасности – конференцию компании Palo Alto Networks в Москве 2 ноября 2017 года ЛОТТЕ ОТЕЛЬ
Новинский бульвар, д. 8, стр. 2. 
Узнайте из первых уст об инновациях в информационной безопасности, технологиях защиты от zero-day атак и шифровальщиков, а также новинках платформы кибер-безопасности Palo Alto Networks.
Участие бесплатное, необходима регистрация с корпоративным адресом электронной почты.

вторник, 5 сентября 2017 г.

пятница, 28 июля 2017 г.

Интеграция Palo Alto Networks с другими решениями

На этой странице буду поддерживать ссылки описывающие интеграцию платформы Palo Alto Networks с другими решениями:

Кликать тут:
 ▪ Airwatch
 ▪ ForeScout
 ▪ Proofpoint
 ▪ Tanium
 ▪ Tripwire
 ▪ Trusteer
 ▪ Cisco ACI

Распишу Tanium прямо тут, поскольку с российских IP адресов они не разрешают к себе заходить. NGFW отправляет файлы в песочницу Wildfire, в результате анализа все IoC получаемые из отчета Winldfire отправляются в Tanium, который уже ищет эти IoC на рабочих станциях используя STIX. Замечу, что NGFW также получает все IoC в устройство из Wildfire после анализа. Картинка ниже:



среда, 12 июля 2017 г.

10 из 10 обязательных функций межсетевого экрана нового поколения

Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
  1. Идентификация и контроль приложений по любому порту
  2. Идентификация и контроль попыток обхода защиты
  3. Расшифрование исходящего SSL и управляющего SSH трафика
  4. Контроль функций приложений и их подприложений
  5. Управление неизвестным трафиком
  6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
  7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
  8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
  9. Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений
  10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе


Реальный пример. Стремительное распространение виртуализации и облачных технологий приводит к появлению новых задач в области безопасности, и с помощью старых межсетевых экранов, для которых характерна несогласованная работа внутренних компонентов, разрозненность механизмов управления ими и отсутствия интеграции с виртуализированной средой, решить эти задачи сложно или вообще невозможно.

Появились мощные ИТ системы, где на одном WEB сервере по одному 80 порту и по одному IP адресу находятся сотни различных приложений. Как их различает ваш межсетевой экран? Например, проверьте фильтры безопасности вашего межсетевого экрана на примере задачи защиты двух веб-приложений по этому адресу basic.ngfw-test.com.

Чтобы защитить входящий и исходящий трафик ЦОД, трафик внутри виртуальных сред вашей организации ваш межсетевой экран нового поколения должен предлагать абсолютно одинаковый функционал как в аппаратных, так и виртуальных форм-факторах.

Требования. Постоянное создание и настройка различных стандартных и нестандартных приложений в среде виртуального ЦОД еще больше усложняет задачи идентификации и контроля приложений. Сегодня это невозможно сделать на основе правил выполняемых на основе двух критериев: порт и IP-адрес.
Кроме тех девяти функций, которые уже описаны ранее, следующая обязательная функция межсетевого экрана нового поколения: важно, чтобы ваш межсетевой экран нового поколения поддерживал всестороннюю интеграцию со средой виртуализации. Это позволит создавать политики безопасности, основанные на приложениях, даже для динамической среды современного центра обработки данных, где не прекращается процесс создания и изменения виртуальных машин и приложений в них.
Создание межсетевого экрана для систем виртуализаци - единственный способ, который гарантирует поддержку развития современных центров обработки данных, обеспечивает гибкость администрирования и защиту от рисков и позволяет соблюдать стандарты и нормативы, такие как стандарты PCI DSS или ЦБ РФ.
Межсетевые экраны должны обеспечивать безопасную работу приложений — и всецело поддерживать ваш бизнес на всех уровнях абстракции.

воскресенье, 9 июля 2017 г.

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.



В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано

4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блокировать
8:20 показ настроек TRAPS
9:10 показ настроек NGFW
9:55 показ успешной атаки через почту, используя вредоносный JavaScript
13:20 показ успешной атаки через почту, используя эксплойт PDF

Включаем защиту

14:40 показ как включить защиту TRAPS
15:00 показ как включить защиту на NGFW

Защита работает

17:00 пробуем запустить вредоносный JavaScript уже с включенной защитой TRAPS и NGFW - срабатывает защита TRAPS от запуска скриптов
18:00 пробуем запусть эксплойт в PDF - срабатывает защита ROP
18:50 отключаем защиту от ROP в TRAPS
20:00 пробуем запустить эксплойт в PDF - он сам по себе не срабатывает. Иногда эксплойты не срабатывают просто сами по себе - они ведь тоже программа, которая не идеальна.
20:30 пробуем запустить эксплойт в PDF - срабатывает DLL Security
32:20 я еще раз запускаю PDF и блокируется скачивание из Интернет - срабатывает блокировка категории malware и NTVDM ругается, что нечего ему запускать
33:40 я помещаю портал с которого скачивается locky.exe в белый список URL профиля
34:50 повторяю запуск PDF и опять NTVDM не сработал потому что locky.exe был заблокирован профилем File Blocking, который проверяет типы файлов и запрещает всем сотрудникам скачивать exe файлы браузером.
36:20 мы решили разрешить скачивание EXE только для группы программистов компании. Здесь я решил показать функционал USER-ID, чтобы в правиле использовать группу пользователей, а не IP адрес. Я добавляю правила и группу пользователей. Использую API команды для этого.
40:00 показываю, что теперь блокировка произошла снова: сработала обычная сигнатура антивируса, потому что вредоносный код locky достаточно старый и известный
40:50 показываю как исключить данную сигнатуру антивируса в профиле защиты
41:25 запускаю PDF снова и срабатывает Child Process в TRAPS
42:10 добавляю исключение чтобы Child Process можно было
43:10 песочница Wildfire уже проверила этот файл и присвоила ему статус "вредоносный" и поэтому файл locky.exe заблокирован снова: сработала защита песочницей Wildfire на хосте с TRAPS. Я, кстати, неправильно объясняю причину блокировки во время презентации -  не туда посмотрел.
44:10 показывают весь зал. Народ еще держится )
45:00 настраиваем Wildfire правило в TRAPS 4.0
48:20 выключаем вообще компонент Wildfire, чтобы дать возможность locky.exe запуститься 49:30 обнаруживаем, что NGFW заблокировал канал управления locky модулем anti-spyware 50:10 добавляем исключение на сигнатуру Locky C2C chanel, эмалируем что мы не знаем как работает обратный канал подключения locky.
51:20 обнаруживаем, что сработала еще одна сигнатура anti-spyware NGFW сработала и сразу выключаем и ее
51:55 locky смог запуститься и начать работать после всех выключений всех движков защиты

Другие варианты атаки

54:10 рассказываю про туннели tcp-over-dns
56:00 запускаем атаку через xls - срабатывает защита от макросов
56:35 пробуем запустить эксплойт в flash ролике и обнаруживаем что срабатывает детект эксплойта в NGFW
57:00 отключаем spyware сигнатуру
57:13 пробуем запустить эксплойт в flash через HTTPS, но срабатывает URL фильтрация

Защита от wanacrypt0r

58:21 отключаем защиту чтобы попробовать wanacrypt0r
1:01:45 запускаем wanacryptor и он все шифрует как и должен - защиты ведь нет
1:04:07 запускаем программу для замены хеша, чтобы смоделировать что это еще неизвестный вредоносный код
1:08:15 показываю как скачать TRAPS с портала support.paloaltonetworks.com, качаю и ставлю его на свою виртуальную машину с Windows Server
1:10:00 запускаем wanacrypt0r - он блокируется TRAPS

Подведение итогов

1:10:35 вердикт Wildfire неизвестен, поэтому неизвестный exe файл был заблокирован
1:12:10 подведение итогов: мы продемонстрировали многоэшелонированную защиту
1:12:45 перечисляем все компоненты защиты которые есть у PAN
1:13:30 обсуждаем как защищать облачные компоненты, Aperture, Autofocus
1:15:00 Cloudshare UTD - варианты лабораторных работ
1:17:00 ссылка на другую запись этой же презентации
1:17:25 отвечаю на вопрос про функционал DLP в Aperture
1:18:20 отвечаю на вопрос по политикам на основе IoC из Autofocus, и External Block List и корреляция TI из разных источников
1:22:00 раздача футболок

Другая версия этой же презентации


Настройка защиты от запуска JavaScript:

Включение правила FIREWALL-BYPASS для игнорирования атак:

Модули защиты, которые работают в NGFW: определение что за приложение передает контент, проверка URL в HTTP, HTTPS, SMTP, движок IPS, anti-spyware, антивирус, проверка формата файлов и блокировка exe, песочница Wildfire, база плохих DNS, URL, IP:

Какие конкретно методы будет блокировать защита:
ё

Список техник Threat Intelligence внутри Palo Alto Networks NGFW

Виртуальные демо-стенды с готовыми конфигурациями на основе CloudShare для тестирования любого продукта: NGFW, TRAPS, Panorama, Migration Tool


четверг, 6 июля 2017 г.

9 из 10 обязательных функций межсетевого экрана нового поколения

Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
  1. Идентификация и контроль приложений по любому порту
  2. Идентификация и контроль попыток обхода защиты
  3. Расшифрование исходящего SSL и управляющего SSH трафика
  4. Контроль функций приложений и их подприложений
  5. Управление неизвестным трафиком
  6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
  7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
  8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
  9. Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложений
  10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

9. При полной активации функций управления приложениями ваш межсетевой экран нового поколения должен обеспечивать такую же пропускную способность и производительность, как прежде. 

Реальный пример. Многие организации стремятся добиться оптимального баланса между производительностью и безопасностью. Не секрет, что активация дополнительных функций безопасности на вашем межсетевом экране означает, что пропускная способность устройства будет существенно снижена. Если ваш межсетевой экран нового поколения разработан правильно, вам не потребуется переживать за это. 

Требования. При рассмотрении этого требования также становится очевидным значение архитектуры, только в несколько ином ключе. Поспешный выбор межсетевого экрана работающего только на транспортном уровне c портами TCP и UDP или множества других средств обеспечения информационной безопасности от разных производителей обычно выливается в чрезмерное количество защит на каждом из сетевых уровней, механизмов сканирования и политик, что приводит к снижению производительности. Межсетевой экран должен быть сделан под эти задачи еще при разработке архитектуры ПО. Более того, если считать, что вам требуется выполнять ресурсоемкие вычислительные задачи (такие как расшифрование SSL, идентификация приложений, предотвращение угроз на всех портах) в среде высокоинтенсивного трафика, не допускающей малейшие задержки в работе критически важной инфраструктуры, ваш межсетевой экран нового поколения должен быть оснащен специальными выделенными аппаратными компонентами для выполнения таких задач.

вторник, 27 июня 2017 г.

Что делать в связи с новой эпидемией Petya?

После эпидемии криптолокера WannaCry прошло не так много времени. Сейчас пошла очередная эпидемия и новостные сайты уже кипят новостями. На самом деле это не новая атака. Вирус Petya + Misha обычно доставляется путем фишинговых email писем в отдел кадров, с приложенным резюме! Смотрите на этот вектор атаки!

Если вам важно защитить себя, то все-таки 
1. нужно обзавестись хостовой защитой. Например TRAPS
2. нужно обзавестись песочницей для сетевого трафика. Например Wildfire.
3. нужно проверить, что бекапы в вашей компании работают и сделаны в последнее время
4. нужно проверить, что у вас ставятся обновления и стоят самые последние

Есть много индикаторов компрометации (IOC) тут https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Если у вас Palo Alto Networks, то вот рекомендации что делать https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

Вот можно посмотреть какие производители видят уже этот вирус. Сейчас это 16 из 61 на VirusTotal.

понедельник, 26 июня 2017 г.

Чем отличается NGFW от UTM

Есть мнение, что UTM и NGFW - одно и тоже. Хочу развеять это мнение.

Что было сначала? 

Правильно, сначала были UTM (Unified Threat Management). Это система все-в-одном. Кто-то умный догадался поставить на один сервер сразу несколько движков защиты. Безопасники получили возможность из одной коробки получать сразу и управление, и работу нескольких движков безопасности. Теперь вместе заработали межсетевой экран, VPN, IPS, антивирус, вебфильтр и антиспам. Кто-то еще навешивает другие движки, например, DLP. Сейчас обязательным является движок расшифрования SSL и SSH и движок разбора и блокировки приложений на всех 7 уровнях модели OSI ISO. Как правило движки берутся от разных вендоров или даже бесплатные, например, IPS от SNORT, антивирус clamav или межсетевой экран iptables. Поскольку межсетевой экран еще является роутером или свитчом для трафика, то движок динамической маршрутизации также чаще всего какого-то производителя. По мере роста спроса появились крупные игроки на рынке, которые смогли скупить несколько хороших разработок для работы нужного движка и соединить их работу внутри одного UTM устройства. Например, Check Point купил IPS у компании NFR, Cisco купила IPS у Sourcefire. Популярные марки видно в квадрате Gartner по UTM. В 2017 году лидерами UTM по мнению Gartner являются Check Point, Fortinet и Sophos.

Минусы архитектуры UTM. Почему появились NGFW? 


Рис 1. Пример архитектуры работы UTM.

Первой архитектурной проблемой UTM являлось то, что все движки внутри по очереди передавали друг другу сетевые пакеты и ждали когда предыдущий движок закончит работу, чтобы начать свою. В результате чем больше функций встраивает вендор в свое устройство, тем медленнее оно работает. В результате пользователям таких устройств приходится отключать IPS и антивирус или часть их сигнатур, чтобы трафик вообще ходил. То есть вроде платили как за устройство защиты, а пользуются только как роутером. Нужно было что-то придумать, чтобы движки защиты не ждали друг друга и работали параллельно.
Новым ходом производителей NGFW стало то, что в них использовали специализированные чипы, которые одновременно смотрят на тот же самый трафик. Это стало возможным, поскольку каждый процессор стал отвечать за свою функцию: в один прошиты сигнатуры IPS, в другой сигнатуры антивируса, в третий сигнатуры URL. Можно включать все сигнатуры во всех движках - трафик находится под полной защитой без снижения производительности. Программируемые чипы такого типа называются ПЛИС (программируемая логическая интегральная схема) или в английской литературе FPGA. Их отличие от ASIC в том, что они могут перепрограммироваться на ходу и выполнять новые функции, например, проверку новых сигнатур, после обновления микрокода или любые другие функции. Этим NGFW и пользуется - все обновления прошиваются непосредственно в чипы FPGA.


Рис 2. Пример архитектуры работы Palo Alto Networks NGFW.

Второй архитектурной проблемой UTM стало то, что все файловые операции требовали работы жесткого диска. Какая скорость чтения с жесткого диска? 100 Мегабайт в секунду. А что будет делать UTM, если у вас в ЦОД 10Гбит скорости? Если 300 человек в вашей компании решат скачать папочку с файлами по сети Микрософт (протокол SMB), то что сделает UTM? Плохие UTM просто загрузятся на 100% и перестанут работать. В продвинутых UTM на этот случай встроены различные механизмы автоотключения работы движков защиты: antivirus-bypass, ips-bypass и другие, которые выключают функции безопасности, когда загрузка аппаратной части превысит ее возможности. А если нужно не просто сохранить файл, но еще и распаковать архив? Скорость работы снижается еще. Поэтому UTM в основном применяются в маленьких компаниях, где скорости были неважны, либо где безопасность - опция. 
Практика показывает, что как только скорость сети возрастает, то в UTM приходится выключать все движки кроме маршрутизации и пакетного межсетевого экрана, либо просто ставить обычный межсетевой экран. То есть давно уже стояла задача как-то ускорить работу файлового антивируса. 
Новым архитектурным сдвигом у первого производителя NGFW, появившегося в 2007 году, стало то, что файлы перестали сохраняться на диск, то есть весь разбор трафика, раскодирование и сборка файлов для проверки антивирусом стали производиться в памяти. Это сильно повысило производительность устройств защиты и отвязало их от производительности жестких дисков. Скорости сетей растут быстрее скоростей жестких дисков. Только NGFW спасут безопасников. Сейчас по версии компании Gartner есть два лидера в NGFW: Palo Alto Networks и Check Point.

А как работают с приложениями 7 уровня в UTM и NGFW?

С появлением NGFW у заказчиков появилась новая возможность - определение приложений 7 уровня. Сетевые инженеры изучают семиуровневую модель сетевых взаимодействий OSI ISO. На 4 уровне этой модели работают протоколы TCP и UDP, что в последние 20 лет работы сетей IP считалось достаточно для анализа трафика и для управлением трафиком. То есть обычный межсетевой экран просто показывает IP адреса и порты. А что делается на следующих 5-7 уровнях? Межсетевой экран нового поколения видит все уровни абстракции и показывает что за приложение какой файл передало. Это сильно повышает понимание сетевых взаимодействий ИТ специалистами и усиливает безопасность, поскольку вскрывает туннелирование внутри открытых приложений и позволяет блокировать приложение, а не просто порт. Например, как блокировать skype или bittorent обычным межсетевым экраном старого поколения? Да, никак.
Производители UTM в итоге добавили движок определения приложений. Однако в них два движка управления трафиком - портовый 4 на уровне TCP, UDP и ICMP и на уровне поиска контента приложений в трафике типа teamviewer, tor, skype. Получилось, что у UTM несколько политик: одна управляет портами, вторая управляет приложениями. И это создает очень много трудностей, в результате политикой управления приложениями никто не пользуется.

На тему визуализации на уровне приложений прилагаю презентацию. Также это затрагивает тему Shadow IT. Но про это позже..


Прилагаю еще одно независимое мнение по поводу чем отличается UTM и NGFW:



среда, 7 июня 2017 г.

9 июня начинается Palo Alto Networks CTF (Capture the Flag)

9 июня мы стартуем Palo Alto Networks CTF (Capture the Flag). 25 заданий нужно сделать за 6 недель. Первый человек, который пройдет все задания получает приз 10000 долларов. Я считаю, что победить и забрать весь призовой фонд должны русские безопасники! 

Подробнее на сайте labyrenth.com

вторник, 6 июня 2017 г.

Aperture - защита облачных приложений. Приглашение на вебинар.

Приглашаю на вебинар во вторник, 13 июня, в 11-00 по Москве.
Регистрация: https://register.gotowebinar.com/register/260019489977241859
Спикер: Максим Автоненко, Тайгер Оптикс

Облачные SaaS-приложения, такие как Office 365 или Box, все чаще используются компаниями по всему миру, в том числе в СНГ.
 

Использование готовых облачных решений повышает производительность сотрудников, но также создает дополнительные риски, включая распространение вредоносного ПО, утечки данных или случайное разглашение информации. Эти изменения требуют новых подходов к мониторингу действий пользователей, контроля доступа и защиты данных в облачных приложениях.

Aperture - новый сервис от Palo Alto Networks, который позволяет поставить облачные приложения под контроль, обеспечить понимание происходящего в них, а также создать условия для их безопасного использовать сотрудниками.

Подключайтесь к совместному вебинару Palo Alto Networks и Тайгер Оптикс, чтобы узнать подробности и увидеть демонстрацию сервиса Aperture.
 

понедельник, 5 июня 2017 г.

8-я обязательная функция вашего нового межсетевого экрана

8/10 Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений.

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
  1. Идентификация и контроль приложений по любому порту
  2. Идентификация и контроль попыток обхода защиты
  3. Расшифрование исходящего SSL и управляющего SSH трафика
  4. Контроль функций приложений и их подприложений
  5. Управление неизвестным трафиком
  6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
  7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
  8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
  9. Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложений
  10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений.

 Реальный пример. Многие организации постоянно создают новые сервисы для сотрудников, реализуют новые политики и вводят новые средства управления, в то время как их специалисты в области информационной безопасности уже сильно перегружены, управляя текущим множеством процессов защиты. Другими словами, если ваши сотрудники не справляются со своими текущими задачами, то добавление устройств и управление новыми сервисами, а также соответствующими политиками и обработкой новой информации, не позволит разгрузить ваших специалистов, равно как и не ускорит процесс обработки инцидентов. Чем сложнее политика (например, межсетевой экран на базе портов разрешает трафик через порт 80, система предотвращения вторжений выявляет/блокирует угрозы и приложения, шлюз для веб-защиты выполняет контроль URL-запросов), тем тяжелее этой политикой управлять. А какую политику в отношении WebEx используют ваши специалисты по безопасности? Как они определяют и решают конфликты политики на различных устройствах? Если предположить, что для типичных межсетевых экранов на основе портов определены базы правил, включающие тысячи всевозможных правил, то при добавлении тысяч сигнатур приложений в рамках десятков тысяч портов сложность будет возрастать в десятки раз. Поэтому разрешив какое-то новое приложение в своей сети, необходимо сразу же позаботиться о его безопасности и это должно быть реализовано в рамках одного правила межсетевого экрана.

 Требования. Работа вашей организации основана на приложениях, пользователях и файлах, поэтому ваш межсетевой экран нового поколения должен позволять использовать политики, напрямую поддерживающие все ваши бизнес-инициативы. Упростить защиту – это мечта любого сотрудника. Политика межсетевого экрана, основанная на портах и IP-адресах, а затем добавленная сверху политика для управления приложениями внутри портов, системами обнаружения вторжений поверх всех правил и защиты от вредоносного ПО внутри конкретных приложений, только усложнит процесс управления на базе политик и, в конечном счете станет препятствием развитию бизнеса. Требуйте функционал безопасности в устройствах контроля за приложениями нового поколения.
researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014
 Рисунок: пример распределения трафика для различных приложений в сети компании.