понедельник, 23 декабря 2019 г.

Как Host Information Profile повышает безопасность компании

Контроль защищенности рабочей среды как у удаленных пользователей, так и внутренних пользователей - постоянный процесс в любой компании.  

Три компонента защиты внешних сотрудников: MDM, VPN и контроль доступа внутри сети 

1. Для контроля удаленных сотрудников, использующих ноутбуки, смартфоны, iPad и так далее используются системы Мobile Device Management (MDM), например, VMWare AirWatch. Cистемы MDM позволяют единообразно проконтролировать установленный софт, запустить его в защищенном контейнере, установить или удалить необходимый софт, например, VPN клиент. 

2. Для внешних сотрудников стандартном стало использование клиентов VPN, которые по IPSEC или SSL создают защищенное соединение с ресурсами компании. Есть варианты и доступа по VPN через стандартный браузер HTML5 без установки клиента.

3. Для собственных и даже сторонних сотрудников стало правилом проверять защищенность перед получением доступа в сеть: обновлена ли операционная система, установлен ли нужный корпоративный софт: антивирусы, бекапы, персональные firewall и т.д. И если такой сотрудник правильно следит за обновлениями, пользуется антивирусами, бекапами, шифрованием диска, то он вносит значительную лепту в рост защищенности компании. Но, чаще всего сотрудники, не следят за безопасностью. Чтобы разделить доступ сотрудников, у которых все хорошо с настройками ноутбука, и у которых есть еще что настроить в сетях вводятся различные правила доступа. Чаще всего упоминается технология Network Access Control (NAC), когда сотрудник просто не получает доступ к нужной сети, если он не соответствует требованиям компании к безопасности своего рабочего места. И сегодня мы поговорим про похожую технологию, которая работает и на сетевом уровне и на уровне приложений: HIP.

Те, коллеги, кто уже успел настроить межсетевой экран Palo Alto Networks, знают, что в нем есть поле-критерий под названием HIP Profile. Оно применимо для любого для трафика, который идет через межсетевой экран. Это поле расшифровывается как Host Information Profile (далее сокращенно HIP)
Почему оно есть в этом NGFW и нет в других?

Пример настройки HIP Profile

Приведу пример. Допустим, мы хотим разрешить работу нужного приложения только для хостов сети с установленной Apple Mac OS X. На межсетевом экране мы создаем HIP Object, в котором включена данная проверка. 

HIP Profile это набор нужных нам HIP Object, которые мы хотим добавить в проверку. Добавим туда один объект MacOSX, который мы создали выше.

И также добавляем оповещение всем, кто не прошел данную проверку. Сообщение можно сделать на разных языках.


Добавляем этот HIP Profile в нужное правило или пишем новое правило в политике NGFW с этим критерием, как дополнительную проверку доступа к данной зоне сети или приложению. Например, пусть это будет доступ к приложениям apple-update и crashplan:

Что такое HIP Profile

Объект HIP Profile является частью политики безопасности NGFW. Данный объект ставится как квалификатор в правиле NGFW позволяет проверить устройство каждого пользователя на соответствие требованиям безопасности в вашей компании и на основании критерия соответствия безопасно разрешить доступ. 
При подключении в сеть от клиента в NGFW приходит HIP Report, который выглядит как XML файл, который создает на каждом устройстве установленный агент GlobalProtect. Часть информации агент получает локально, часть от внешних источников, например, от DNS или WSUS (Windows Software Update Server) об отсутствии патчей Windows. Если сотрудник внутри сети компании, то IPSEC или SSL туннель уже не нужно устанавливать и HIP Report передается по внутренней сети. Часто проверку HIP ассоциируют с NAC, но NAC этот все-таки сетевой уровень доступа по зонам сети и портам, а HIP - это доступ еще и к приложениям сети, понятии, которое есть только в NGFW. В правилах межсетевого экрана нового поколения вы используете больше критериев в правилах. Если хост соответствует одному или нескольким критериям, то правило не пускает хост или пускает с минимальными правами. Вы можете создать несколько правил для одного и того же хоста, где каждое правило даст разные уровни доступа в зависимости от состояния защиты на хосте. 

GlobalProtect Agent - источник  HIP

Вот так выглядит информация о хосте, которую собрал GlobalProtect агент. Соответственно, этому хосту будет предоставлен доступ согласно правилу безопасности выше: это Mac OS X.

GlobalProtect агент устанавливается на ноутбуки, мобильные устройства, хосты компании чаще всего как VPN клиент, который подключается к VPN шлюзу по IPSEC или SSL. GlobalProtect - это бесплатная программа доступная в AppleStore или Google Play Market. Вы можете сгенерировать и свою версию клиента, например, с уже встроенным сертификатом для доступа в сеть компании.

GlobalProtect внутри сети для работы USER-ID

И еще одна задача клиента Global Protect - работать как USER-ID агент, то есть он рассказывает межсетевому экрану какой пользователь работает сейчас на данном хосте и также присылает HIP при подключении и периодически, чтобы проверить что ничего в состоянии безопасности не изменилось.

Итог

Поскольку мы не просто даем доступ к приложению, а даем доступ с безопасно настроенного компьютера, то это уменьшает возможности для злоумышленника использовать ноутбуки и мобильные устройства, которые находятся вне сети компании как хост для прыжка внутрь вашей сети. Вы гарантируете, что в вашу сеть попадают только мобильные сотрудники, у которых есть, настроена и правильно функционирует хостовая защита. Также HIP работает и внутри сети, дополняя другие технологии защиты.

Существует постоянная угроза, что сотрудник отключит какое-то обновление. Существуют также компьютеры в сети, которые в питание не включали полгода. И когда такие компьютеры включаются в сеть, то естественно открыты для всех угроз, которые накопились с момента последнего обновления. Чтобы предотвратить вход в сеть хостов, которые не содержат ваших требований по безопасности, вы можете заставить людей сначала провести обновление, и лишь потом дать доступ в сеть.

Например, ниже проверка, что на рабочей станции установлен антивирус Касперского, и у него базы были обновлены минимум день назад и сканирование производилось минимум день назад.  Включите эти проверки и переведите защищенность сети на новый уровень.

Краткая демонстрация настройки и работы HIP 


суббота, 16 ноября 2019 г.

Как бороться с DGA доменами

Хакеры перешли к новому методу обхода защиты базами Threat Intelligence.

Поскольку базы Threat Intelligence активно пополняются и используются безопасниками и  на сегодня в каждой компании и мы можем прямо на периметровом межсетевом экране обнаружить и заблокировать подключение по известному DNS, IP или URL к центру управления, то хакерам нужен был новый подход.

Сейчас вредоносный код генерирует специальные строки с именами доменов и подключается по нужному ему имени DNS в нужный ему момент времени. Этот алгоритм называется Domain Generation Algorithm (DGA). Центр управления бот-сетью теперь не находится по одному доменному имени, а постоянно "переезжает". Например на картинке ниже видно, как было подключение по адресу hqrsuxsjqycv.info. Это какой-то придуманный домен (явно не человеком). 
Поскольку в базу Threat Intelligence невозможно поместить все варианты доменов для каждого типа вредоносного кода или spyware, то должны применяться новы методики защиты от DGA.

Если посмотреть в базе Autofocus данный домен, то он обнаруживается пассивным DNS на большом количестве устройств
И если пойти дальше и посмотреть какие еще домены имеют ссылки на адрес 88.208.54.88, то обнаружится вот такой список еще более странных доменов.
.

Защита от DGA

В Palo Alto Networks NGFW существует защита DNS, которая распознает автоматически домены, которые не может сгенерировать человек. Основой этой защиты является Machine Learning, который распознает эти алгоритмы генерации имен доменов. Функционал защиты DNS в NGFW включает функцию DNS Sinkholing для подмены обращений к найденным вредоносным доменам. Также осуществляется блокировка туннелей по DNS. Также источником информации о вредоносных DNS адресах является песочница Wildfire, пассивные сенсоры DNS по всему миру, специализированные HoneyPot, лаборатория исследователей Unit42 и информация получаемая в рамках сотрудничества между всеми компаниями по кибербезопасности входящими в Cyber Threat Alliance. Все готовые результаты приходят с обновлениями в NGFW и благополучно блокируются как это видно на картинке выше.


Еще пример

Или еще один интересный домен c5dls1in4l1e.ru, который не обнаруживается обычными базами, но обнаруживается алгоритмом DGA. Вот, например, что про него думает Virustotal

Однако он известен DGA детектору с 2018 года и до сих пор используется, как это видно в базе  угроз Threat Vault и в журнале NGFW

Если вы занимаетесь Threat Hunting, то вам будет интересно поизучать эти найденные адреса. Вот, например, данные из Autofocus:

Больше всего улыбает, что IP адрес 104.27.152.22 занесен в категорию Home and Garden ;-)



четверг, 24 октября 2019 г.

Вебинар по тонкостям NGFW 24 октября

В 16 часов сегодня 24 сентября был вебинар по NGFW



Поскольку основы NGFW многим уже знакомы, то мы копнем глубже. Мы пройдемся по настройкам, которые чаще всего упускают из вида, хотя они являются очень нужными встроенными методами защиты. Что такое log suppression, контроль передаваемых файлов по сети и из сети, как создавать Custom Threat Signature, как использовать DAG и DUG, DNS Sinkholing и DNS Security для обнаружения DGA, как использовать EDL и Zone Protection и другие штуки.

И мы надеемся, что вы придете, уже прочитав 70 страниц документа лучших практик по настройке NGFW Palo Alto Networks от SANS

Запись вебинара выложена тут https://www.youtube.com/watch?v=6rN5vu-1oa4


пятница, 27 сентября 2019 г.

Palo Alto Networks NGFW



Сетевая безопасность развивается уже 20 лет и появилось много различных технологий для защиты сети. Сегодня отдельно можно приобрести межсетевые экраны, в разных видах реализовать инспекцию HTTP, SSL, DNS и других приложений. Также существуют анализаторы приложений (DPI), системы предотвращения атак (IPS), потоковые антивирусы и песочницы для потока файлов внутри SMB и FTP, и, конечно, у всех используется URL фильтрация.

Самой продвинутой защитой, которая включает в себя все имеющиеся технологии сетевой защиты стали устройства класса все-в-одном c единой встроенной системой управления. Управление всеми функциями сетевой безопасности из одного интерфейса настолько удобно, что это цель каждой компании сегодня.

Термин Unified Threat Management (UTM) и затем Next Generation Firewall (NGFW) появились друг за другом и теперь важно знать как выбрать себе решение: какие важные функции ИБ должны быть в Вашем корпоративном инструментарии.

Часто устройство содержит много функций, но включить их невозможно все сразу - они замедляют сетевой трафик настолько, что приходится ставить несколько устройств друг за другом, чтобы хоть как-то реализовать все заявленные функции. Что делать и как быть?

Первый продукт такого класса создала компания Palo Alto Networks. Аппаратный NGFW в 2007 году реализовал архитектуру SP3, в которой можно включить все 100% функций одновременно: контроль приложений L7 и файлов в них, DLP, антивирус, IPS, URL фильтрацию, защиту DNS, Threat Intelligence. Сотрудник компании Palo Alto Networks проведет демонстрацию какие современные функции защиты должны быть в вашей сети. Компания является уже 8 лет лидером рынка Firewall по мнению Gartner и по результатам тестирований лаборатории NSS Labs.

Palo Alto Networks NGFW является лидером рынка по отчетам Gartner и NSS Labs уже много лет. Архитектура SP3 Palo Alto Networks стала целевой для многих других производителей Firewall.


Рекомендую познакомиться с основами межсетевого экранирования в статье https://habr.com/ru/post/436392/

У нас есть целая сетка вебинаров. Часть уже прошло, часть описана тут.


вторник, 17 сентября 2019 г.

Интеграция внешних списков IP, URL, DNS в правила NGFW


Существующие объекты External Dynamic Lists в Palo Alto Networks можно применять в политике безопасности в колонках адрес источника и получателя. Соответственно сам объект динамически пополняется адресами из внешних источников по расписанию. Поддерживается HTTPS и авторизация по логину и паролю. 

Важно найти какие-то удобные Вам фиды IoC, и просто загрузить их в Ваш межсетевой экран. 
На демонстрации используются фиды из http://panwdbl.appspot.com/ 
Другой интересный open source источник баз Threat Intelligence IPSUM https://github.com/stamparm/ipsum


Видеодемонстрация

Также в межсетевом экране Palo Alto Networks есть собственные IoC, поставляемые лабораторией UNIT42.

понедельник, 16 сентября 2019 г.

Приглашаем на вебинары Palo Alto Networks

Безопасные вебинары c Palo Alto Networks.


Мы проводим осеннюю серию образовательных вебинаров по вторникам в 10 утра.

Сентябрь
Октябрь


Запросить презентации по адресу russia@paloaltonetworks.com



воскресенье, 8 сентября 2019 г.

Быстрый поиск по конфигурации NGFW в GUI

Сегодня хочу рассказать про одну обычную вещь - кнопку поиска. Для меня явилось откровением, что эта кнопка не используется и мало кто понимает что она ищет. Итак, рассказываю! Пользуйтесь, пожалуйста!
Кнопочка ищет по всем объектам в вашем конфиге и также по базе приложений, атак и anti-spyware. Это очень удобно. Записал демонстрацию.

вторник, 27 августа 2019 г.

Почему сертифицированные решения не защищают

Новости безопасности с портала securitylab.ru за 26-27 августа 2019

Каждый день появляются новые приложения и находят новые уязвимости. Каждый день новости про очередной ботнет или очередной вектор атаки.  Если в продукт защиты информация о защите приходит своевременно, то значит он может защитить Вас от новой атаки. 

Сегодня вы покупаете не какую-то голую железку для защиты, а к ней прилагается сервис, в котором задействованы сотни человек, которые круглосуточно отслеживают атаки всего мира, пишут новые сигнатуры для антивируса, IPS, изучают новые приложения (майнеры, анонимайзеры, туннели), смотрят где появились новые вредоносные URL, DNS, IP и все это своевременно поставляют в Ваше устройство защиты. То есть устройство защиты сегодня - живое. Оно меняется с той же скоростью, с какой меняются угрозы.

Но! С точки зрения сертификации в РФ и многих других странах в продукт не может вноситься никакая техника защиты извне. Поэтому после сертификации продукт представляет из себя конечный автомат, обновить функции защиты которого можно только повторной проверки. Поскольку сертификация занимает годы, то вам в сеть это устройство попадает значительно устаревшим. И новые угрозы вам блокировать нечем. Поэтому сертифицированное устройство защищает от угроз, которые были актуальны на момент начала сертификации.

Почему так происходит? Если мы защищаем государство, то мы рассматриваем угрозу наличия программных и аппаратных закладок. И поэтому по-умолчанию любому продукту (особенно из-за рубежа) нет доверия. И регуляторы требуют проверки исходного кода. Для производителя этот шаг скорее выражение открытости и чистоты своих намерений, потому что реально найти что-то в миллиардах строк кода операционной системы невозможно.


Для заказчика шансов остаться без закладок нет, даже если все сертифицировано, потому что закладку могут вставить в любой момент цепочки поставки от производства до доставки в ЦОД, о чем рассказывал Александр Матросов на Offzone 2019.


Может ли производитель намеренно вставлять закладки в свой код? В принципе можно гипотетически представить, что компания из top5, которая зарабатывает несколько миллиардов долларов в квартал, у которой продукты установлены в 160 странах мира, вдруг сделает закладку для взлома Вашей компании. Когда об этом станет известно, возможно, это сразу же перечеркнет её бизнес, потому что ей не будет доверия нигде. Понятно, что для этого шага сама информация должна стоить эти несколько миллиардов, чтобы такой шаг окупился. Существует ли такая дорогая информация? Возможно. Но тогда дешевле подкупить какого-то сотрудника компании, как это описывают в шпионских романах.

Другая проблема сертификации - уязвимости в самом продукте. Как только находится уязвимость в продукте ИБ он по-сути теряет свой сертификат. А уязвимости находят непрерывно, какого вендора ни возьми. И тут надо бы поставить исправление уязвимости - а нельзя - это исправление надо сначала проверить! И снова Вы вынуждены работать на сертифицированном несколько лет назад, да еще и уязвимом. (Шучу конечно. Да, я догадываюсь, что все адекватные люди делают.)

Почему верно проверять исходный код или среду разработки, включая обновления? Потому что даже сама компания-производитель может непроизвольно вставить в свой код вредоносный код. Так уже было с производителем бухгалтерского софта M.E.Doc, в обновлениях которого был вредоносный код Petya. Но, к сожалению, мы как пользователи можем только принять такие риски и скачивать обновления, начиная, с операционных систем, браузеров и продолжая смартфонами и приложениями на нем.

Если мы в нашей стране защищаем обычные компании, то лучше разделить два понятия сертификация и уровень доверия. Сертификация должна означать, что проверены функции ИБ. Уровень доверия должен появляться при защите гос. органов. Да, там логично: посмотрели в исходный код - то есть проверили нет ли закладок, начали работать. Но лично для меня нелогично то, что самые критичные наши госорганы нельзя защищать самым топовым и современным софтом - нужно ждать сертификации! Да уж. 

Сейчас, любой здравомыслящий отдел безопасности проводит тестирование продуктов, поскольку появилось очень много маркетинга и любой продукт сейчас "самый лучший в мире".  Любой, кто прослушал все презентации вендоров по ИБ теперь хорошо разбирается в презентациях вендоров по ИБ. Тестирование - по сути это и есть сертификация, которую все-равно проводят все заказчики. И слава богу (а кому еще?), этот пункт проверки соответствия включен в 239 приказ ФСТЭК.

Сейчас сертификация, уровень доверия и криптография связаны, поэтому сертифицировать можно только обрубленный функционал, который возможно еще как-то проверить. Алексей Лукацкий в своем блоге уже привел пример, почему сейчас NGFW нельзя сертифицировать: можно сертифицировать только L4 firewall, без VPN, SSL и удаленного управления, ведь SSH и HTTPS для управления уже нельзя использовать.

Итак, сертификация - это хорошо и правильно, но она не достигает цели, потому что
- сертифицирован всегда старый код, который уже не актуален;
- сертифицирован только обрезанный код продукта, который не является лучшим современным решением;
- обновления не приходят своевременно, как нужно для реальной защиты;
- управление группой устройств с одной точки и их обновлениями чаще всего отключается.

Можно ли изменить процесс сертификации, чтобы актуальная защита была проверена быстрее?



четверг, 15 августа 2019 г.

Почему компании, купив L7 firewall, настраивают правила L4

В то время как я писал статью про разницу L4 и L7 правил, я еще не думал, что реально, покупая NGFW компания по сути покупает еще 
- обучение сотрудников
- внедрение новых процессов

Обучение сотрудников и процессы

Оказалось, что те два сотрудника (которых как правило отправляют на обучение по NGFW после покупки) никак не влияют на всех сотрудников компании. Они начинают жить в своем L7 мире, а все другие сотрудники остаются жить с обычными L4 вендорами. Происходит разрыв шаблона. 

Для 99% ИТ сотрудников является нормальным открыть наружу в Интернет порт 80. А для обученных в инновационных компаниях двух сотрудников это дико - ведь по 80 порту ходит 1332 разных приложения и какое реально L7 приложение они должны пропустить по этому порту? L4 люди забывают сказать, потому что они просто не в курсе, что приложений много, а не только браузер. Вы как думаете? Вот что можно разрешить на порту 80, если поискать по протоколу tcp и порту 80 в базе приложений NGFW:


Соответственно, идеология L4 отражается в HelpDesk системах: они содержат просьбы открыть им только порты, без объяснения, что за приложения реально нужны. 
А если нужно открыть более сложные приложения, например в DMZ, то я просто в ужасе что же пишут в запрос (тикет) cлужбы поддержки. В ужасе, потому что догадываюсь!

И этот тренд 2019 года продолжают сам вендора которыми мы пользуемся. Если читать их документацию, то они пишут про что? Про L4 правила! Например, если нужно открыть Microsoft Skype For Business, существует только документация портовая у компании Микрософт! Здрасьте, приплыли!

Вот что по мнению Микрософт должен сделать владелец L4 Firewall:


Что делает владелец L4 firewall глядя на этот список? Правильно! Он разрешает все порты выше 1024 на сервер! Ему же надо доступ дать, а не башню на танк поднять (я про анекдот).

В то время как владелец NGFW должен разрешить одно приложение ms-lync. Удобно ли это? Ему удобно, бизнесу удобно, и компании безопасно и быстро! Ну впрочем, если, правда, в компании безопасность - важна и сотрудников ИТ - ценят.

Итог

В итоге к чему я клоню. Мне как сотруднику компании, которая придумала и сделала NGFW - выговор. Я должен позаботиться, чтобы все ИТ сотрудники знали, что существуют более удобные методики межсетевого экранирования. А я этим не занимаюсь? Занимаюсь, но недостаточно.

А надо ли это этим счастливчикам, которые живут в L4 и разрешают все возможные 1332 приложения по порту 80 всем?  


пятница, 2 августа 2019 г.

5G, CIoT, NB-IoT, LPWAN и другие технологии защищены в межсетевом экране K2


https://www.paloaltonetworks.com/solutions/industries/service-providers/mobile-network-operators

Довольно поверхностно я освещаю тему защиты на уровне телекомов и никогда не рассказывал про специализированный межсетевой экран K2. Попробую осветить сегодня, по аналогии как это сделано в этой англоязычной статье.

Развитие технологий происходит очень бурно особенно мир IoT. Мир идет в сторону LPWAN (Low-power Wide-area Network — «энергоэффективная сеть дальнего радиуса действия») куда может быть подключено огромное число различных датчиков.




Или другой стандарт NB-IoT (поддерживаемый Huawei, Ericsson, Qualcomm и Vodafone), который предлагает подключать неиспользуемые полосы 200 кГц для подключения миллиардов устройств IoT через «глобальные сети с низким энергопотреблением». Это могут быть медицинские датчики или системы умного дома, удаленный сбор данных счетчиков воды и электроэнергии, контроль влажности, пожаров, уровня воды.

Ожидается что к 2025 году в мире будет 25 миллиардов подключенных устройств IoT.

В нашей стране Мегафон, МТС и Билайн уже заявили о поддержке этих технологий и возможности подключать датчики через их сети. Уже есть запущенные на этой технологии системы, например, интеллектуального учета электроэнергии.


Одновременно такие датчики содержат небольшие процессоры, память и программисты  и пользователи не ставят задачи их защиты. Посмотрите даже на свои устройства bluetooth: у вас стоит пароль по-умолчанию 0000? И вы ни разу не захотели его поменять?

Мир пестрит объявлениями об удаленных взломах самолетов и автомобилей, что уж говорить про простейшие датчики и создании целых бот-сетей на их основе Mirai, Satori, Asuna. Вот пример бота RIFT, который использует сразу 17 эксплойтов https://threatpost.ru/iot-botnet-rift-targeting-17-cves/30347/


Устройство OwnStar для взлома системы управления автомобилем компании General Motors OnStar RemoteLink.
В 2018 году компания Palo Alto Networks выпустила впечатляющий по скорости 1 Террабитный межсетевой экран K2 специально для защиты от новых угроз. K2 защитит мобильную сеть от штормов сигнализации, включая различные атаки на туннельном уровне и уровне приложений, проходящие через сети GRX / IPX на интерфейсах S8, S6a / S6d. Этот межсетевой экран был представлен также на Mobile World Congress 2019. Его задача - определение приложений, какие бы они не были: медицинские, ICS/SCADA, телеком, транспорт, нефтяные или энергетические системы. После задач визуализации того что творится, его задача знать и защищать от уже известных атак и также обнаруживать новые атаки методами корреляции с уже имеющимися знаниями всего мира и на основе поведенческого анализа. 


Однажды слышал на конференции "В общем тут артифишал интелидженс на биг дата". Что-то в этом есть ;-)
K2 серия межсетевых экранов Palo Alto Networks поддерживает все возможные применения мобильных устройств: роуминг, RAN, SGi, защита доступа к не-3GPP сетям.

Таким образом типовые схемы инсталляции:
  • Защита от угроз Интернет (S/Gi)
  • Защита роуминга (S8/Gp)
  • Radio access network security (S1/S11)
  • Non-3GPP network access (S2)
  • IoT безопасность
  • Защита сигнализации



понедельник, 29 июля 2019 г.

Список сертифицированных ФСТЭК России МСЭ и СОВ на 29 июля 2019 года


Реестр ФСТЭК в части по сертифицированным межсетевым экранам (МЭ) и системам обнаружения вторжений (СОВ) содержит много информации, включая сертификаты под сертифицированные отдельные образцы. Я выписал оттуда данные по тем продуктам, что сертифицированы как серия, поскольку если лишь несколько штук, то это уже проданные кому-то экземпляры под какой-то проект. 
Мне не удалось обнаружить у многих производителей в тексте сертификата номер их версии операционной системы, которая была сертифицирована.  А ведь версия важна, потому что если в сертифицированной версии есть уязвимости, то тогда сертификат работает только с применением дополнительных мер защиты устранящих уязвимость.
Также нужно проверять сертифицирована ли система управления. Это оставлю на потом.

Сертификат МЭ.А4 на серию действует у следующих межсетевых экранов
Наименование Версия Номер сертификата Действует до
Рубикон-К   3290 02.12.2020
Check Point 77.10 77.10 3634 03.10.2019
ViPNet Coordinator HW 4   3692 26.01.2020
FortiGate 5.4.1 5.4.1 3720 16.03.2020
Traffic Inspector   3834 04.12.2020
UserGate UTM C, D, D+, E, E+, F, X1
3905 26.03.2021
С-Терра Шлюз 4.2   4058 27.12.2023
Diamond VPN/FW   4066 24.01.2024
Huawei 63XX, 66XX, 95XX версия V500 V500 4083 04.02.2024
ViPNet xFirewall 4   4093 13.02.2024
Застава-150 VPN/FW   4125 14.05.2024
Сертификат МЭ.А5 на серию
нет таких межсетевых экранов
Сертификат МЭ.А6 на серию действует у следующих межсетевых экранов
Наименование Версия Номер сертификата Действует до
Сisco ASA 5506-X, 5508-X, 5516-X версия 9.* 9.* 3973 25.07.2021
Huawei Eudemon 8000E-X3 версия V500 V500 3909 05.04.2021
Cisco ASA SM-1 версия 9.* (снят с продажи) 9.* 3909 27.02.2021
Сертификат СОВ.С4 на серию действует у следующих устройств
Наименование Версия Номер сертификата Действует до
HP TippingPoint   3232 12.09.2020
Рубикон-К   3290 04.12.2020
Сheck Point 77.10 77.10 3634 03.10.2019
FortiGate 5.4.1 3720 16.03.2020
ViPNet IDS 2 2.4 3804 10.10.2020
ИВК СЕНСОР   3868 24.01.2021
UserGate UTM   3905 26.03.2021
Кречет   3911 06.04.2021
Аркан   3976 27.07.2021
Kaspersky Industrial CyberSecurity for Networks   4027 25.10.2023
Positive Technologies Network Attack Discovery   4042 30.11.2023
Аргус   4048 19.12.2023
С-Терра СОВ   4055 24.12.2023
Diamond VPN/FW   4066 24.01.2024
Сертификат СОВ.С5 на серию действует у следующих устройств
Наименование Версия Номер сертификата Действует до
Cisco ASA Firepower 6.2, ASA 55XX-X   3904 19.03.2021
Сертификат СОВ.С6 на серию
никому не выдан

четверг, 18 июля 2019 г.

Результаты общего тестирования межсетевых экранов в компании NSS Labs 2019 года


Сегодня ночью опубликован отчет NSS. В 2019 году в тесте NGFW NSS Labs участвовали следующие устройства:
  • Barracuda Networks CloudGen Firewall F800.CCE v7.2.3
  • Check Point Software Technologies 6500 Security Gateway R80.20
  • Forcepoint 2105 NGFW v6.3.11
  • Fortinet Fortigate 500E v6.0.4 build 0231
  • Huawei USG6620E v600R006C00SPC310
  • Palo Alto Networks PA-5220 PAN-OS 8.1.6-h2
  • Sophos XG 750 Firewall SFOS v17.5
  • SonicWall NSa 4650 SonicOS v6.5
  • Versa Networks FlexVNF v16.1R2-S7
  • WatchGuard Firebox M670 Firmware: 12.3 B589695 Ver-4.907
Из этого списка на российском рынке присутствуют в основном Check Point, Fortinet, Huawei и Palo Alto Networks. Также изредка я вижу Sophos и Barracuda. Компания Cisco со своим  решением FirePower в этом году в тесте NSS Labs не обнаружена.

Мне лично приятно, что Palo Alto Networks NGFW стал лидером этого тестирования (самый верхний зеленый кружок) Зеленый означает, что мы обнаружили все техники обхода.
Диаграмма без имен: https://www.nsslabs.com/ngfw-svm-graphic

Результаты все публично доступны на сайте NSS и все три отчета: сравнительный между производителями, конкретно по модели PANW PA-5220 и обзорный SVM более детальные можно скачать отсюда.



пятница, 5 июля 2019 г.

Новые тренды на рынке ИБ

Новые тренды на рынке ИТ и на рынке ИБ

Существует одна проблема лично для меня, возможно для кого-то тоже: когда ты занимаешься только ИБ, то возникает разрыв знаний с ИТ технологиям. Сейчас информации такое количество на рынке ИБ, что отслеживать новые веяния в ИТ очень сложно. Но нужно.

Информационная безопасность неотделима от ИТ! Только если ты хорошо знаешь сетевые технологии, то ты можешь хорошо защищать сети, если ты хорошо знаешь операционные системы, то можешь хорошо их защищать и так далее.

Контейнеры


Сотрудники ИТ все чаще используют контейнеры вместо виртуальных машин. Такие слова как Docker, Kubernets, Pod, OpenShift активно используются сотрудниками многих компаний. Знаете ли их вы и знаете ли вы проблемы в ИБ в них, как безопасники?

Контейнеры легковесны, поскольку занимают несколько мегабайт, в отличие от виртуальных машин, занимающих гигабайты. И с ними ИТ специалистам проще работать и масштабировать под задачи бизнеса, который требует быстрых результатов и выхода на рынок новых продуктов. Сейчас это делают на основе уже готовых шаблонов контейнеров, на основе которых строят новые приложения. Готовые контейнеры находят, например, на Docker HUB.
Одновременно у контейнеров уже найдены уязвимости и уже были взломы, например, взлом и использование затем мощностей Тесла для зарабатывания криптовалюты был основан на уязвимостях Kubernets.
И уже существуют компании, которые понимают эти уязвимости и делают микросегментацию для сервисов, которые выставляют публично контейнеры.
Например, продукт компании https://www.twistlock.com/ позволяет визуализировать контейнеры, показать уязвимости, защитить контейнеры во время их работы, создать внутреннюю сегментацию в рамках одного хоста с контейнерами.

Function as a Service или бессерверные вычисления

Да, уже есть такие типы облачных сервисов как IaaS, PaaS, SaaS и даже SecaaS, теперь еще и FaaS, когда вы платите поставщику сервиса за исполнение ваших функций, а не операционных систем или приложений. Впервые такое сервис предоставила в 2014 году AWS Lambda, затем уже Google Cloud Functions и Microsoft Functions. Также эту технологию называют бессерверные вычисления. То есть вы передаете сервису для обработки какую-то функцию которая вам нужна в данный момент. Это очень удобно масштабировать и позволяет резко усилить возможности компании в период отчетности или наплыва запросов клиентов, например, в конце квартала или года.

И у этих технологий тоже уже есть уязвимости, например, в данном видео в поле с именем файла PDF для отдела HR вставляется команда curl для скачивания дополнительного кода с pastebin и этот код выполняется на сервере FaaS и результат атаки впечатляет. Как от этого защититься?
Существуют компании, которые занялись защитой Serverless технологий, например, компания PureSec, в продукте выполняется контроль работы таких приложений и даже есть WAF для проверки входящих запросов к сервисам.

SOAR и автоматизация

Конечно же по планете шагает автоматизация. Это применимо одновременно к ИТ и к ИБ. Если существует хоть одна повторяющаяся операция в ИТ или ИБ службе, то ее стоит автоматизировать - зачем мучить сотрудников. 

Основным драйвером продуктов автоматизации в России я вижу то, что руководство готово выделять бюджет на продукт, но не готов выделять деньги на новых сотрудников. Поэтому основная задача продуктов класса SOAR - ускорить работу сотрудников текущих или вообще освободить их от рутинных простейших операций: проверок отчетов сканеров уязвимостей, антивирусов, песочниц или даже автоматически решать задачи приходящие по email от сотрудников - заявки на проверки фишнговых писем, автоматические проверки систем или построение отчетов по разным заданным параметрам.


Здесь много продуктов и я постепенно осваиваю продукт Demisto - он позволяет подключаться к существующим или реализовать системы управления инцидентами, автоматически обогащает каждый инцидент нужной информацией, подключает других сотрудников, пишет им запросы, проверяет чтобы сотрудники вовремя на них ответили, не забывает им напомнить, потом строить отчеты и графики эффективности внутренних процессов ИТ и ИБ. 

Основой систем SOAR является создание или использование уже готовых Playbook - алгоритмов описывающих как работает процесс и что нужно сделать на каждом шаге. SOAR автоматизирует прохождение этого алгоритма, помогает всем сотрудникам на каждом шаге, подключается ко всем система компании сам через API и решает многие вопросы без участия человека. 

Например, Demisto может собрать нужные индикаторы IOC, затем проверить их с полученными в инциденте IP, URL, DNS адресами, хешами и др. Затем автоматически настроить сиетемы защиты на из блокировку, оповестить людей и сформировать графический отчет о своей работе.

Вот так выглядит простейший Playbook когда вы сравниваете свой файл с базой Threat Intelligence например из Facebook и затем со следующей базой, например, с VirusTotal и так далее.

Также основой выгодой таких готовых цепочек проверок является то, что ваш сотрудник может быть не таким профессиональным и даже не знать все методы и способы которые используются профессиональными сотрудниками, но просто запускать этот playbook когда ему нужно проверить заражение или просто любой файл. В Demisto, например, заведено уже 50 готовых плейбуков - что делать в случае потери ноутбука сотрудником, в случае находения вредоносного кода песочницей и так далее. Кроме того Demisto постоянно поддерживает коннекторы к 300 типам различных внешних продуктов ИБ, поддерживает их актуальные версии, чтобы скрипты работали без ошибок.

Пример автоматизации Demisto + песочницы Palo Alto Networks Wildfire + системы Threat Intelligence Autofocus