понедельник, 18 марта 2019 г.

Доступна запись Palo Alto Networks Security Summit 2019 в Москве


27:00 "To Cloud or not to Cloud", Alexandre Delcayre 43:10 "Что является важным критерием в проектах ИБ", Александр Парамонов 44:30 "Ваши проекты 2019-2020 года: SDN, SD-WAN, SOAR, NG SOC, UEBA, XDR, HTTP 2.0, DNS Security, SSL Decrypt", Денис Батранков 1:24:38 Cсылки на прошлые вебинары Palo Alto Networks https://safebdv.blogspot.com/p/blog-page.html 1:28:10 Круглый стол по облакам с участием Ангара (Сергей Шерстобитов, Дмитрий Пудов), Сбербанка (Сергей Валуйских), Яндекс.Облако (Григорий Отребьев), Северсталь (Сергей Гусев) 2:23:40 "Arista и Palo Alto Networks - как улучшить безопасность ядра сети", Андрей Нуштаев 2:38:57 Опыт выбора NGFW в компании EPAM, Дмитрий Чернобай, ИТ директор EPAM Systems 2:50:00 Cortex XDR - English language 3:49:49 Cortex XDR - ответы на вопросы 4:59:17 "New Buzzwords, SOC, CSIRT, PSIRT, Next Gen SOC, Red/Blue Team, Shadow IT, Air GAP, Mimikatz, DFIR", Денис Батранков 5:11:10 "Интеграция Autofocus в SOC и автоматизация IoC через EDL и MineMeld", Денис Батранков 5:21:55 "Что такое TTP - Tactics, Techniques and Procedures", Денис Батранков 5:26:40 "Что делает бесплатная утилита MineMeld", Денис Батранков 5:30:18 Palo Alto Networks как источник аналитики в Big Data, Юрий Бутузов, ICL 5:52:40 "В фокусе пользователь, а не IP адрес" Игорь Булатенко, QIWI 6:19:38 RedLock и Aperture, Илья Осадчий, Tiger-Optics 6:44:50 Global Protect Cloud Service Palo Alto Networks и методики защиты удаленных офисов и мобильных устройств, Денис Батранков 7:35:35 SD-WAN, Сергей Козлов, Riverbed 8:06:10 Бесплатные утилиты SANS, Expedition, Migration Tool, UTD, Best Practice Assesment, SLR, Machine Learning для улучшения вашей безопасности, Денис Батранков 8:27:50 Награждение партнеров Palo Alto Networks, команда Palo Alto Networks

Чем отличается UTM от NGFW

На рынке ИБ постоянно идет нечеткий и невнятный разговор про отличие. Давайте резюмируем все эти разговоры. 

1. Почему они одинаковые: и UTM и NGFW выполняют много разных функций внутри одного устройства. То есть они одинаковые по этому параметру. 

2. Почему они разные: в UTM все функции выполняет один процессор, а в NGFW каждую функцию (в идеале) выполняет свой сопроцессор со своей памятью. То есть они полностью разные по архитектуре обработки трафика.

Как это проявляется у вас: при включении нужных вам функций: URL фильтрации, IPS и антивируса и всех 100% сигнатур - UTM умирает, а NGFW работает как ни в чем ни бывало.

Какая аналогия есть: компьютер с видеокартой и без. Почему вы никогда не покупаете компьютер без ускорителя графики, но покупаете межсетевой экран без ускорителя функций ИБ? 

UTM подходит если трафик в сети небольшой, NGFW используют на высоких скоростях, где функции анализа нужно распараллеливать уже.


Более подробно в обзоре межсетевых экранов

воскресенье, 17 марта 2019 г.

Новый оптимизатор политик Palo Alto Networks NGFW

Как оценить эффективность настройки NGFW

Самая частая задача - проверить насколько эффективно настроен ваш межсетевой экран. Для этого существуют бесплатные утилиты и сервисы у компаний которые занимаются NGFW. 


Например, у Palo Alto Networks есть возможность прямо из портала поддержки запустить анализ статистики межсетевого экрана - SLR отчет или анализ соответствия лучшим практикам - BPA отчет. Это бесплатные онлайн утилиты, которыми можно воспользоваться ничего не устанавливая.

Expedition (Migration Tool)



Более сложный вариант проверки своих настроек - скачать бесплатную утилиту Expedition (бывший Migration Tool). Она скачивается как Virtual Appliance под VMware, с ней настроек не требуется - нужно скачать образ и развернуть его под гипервизором VMware, запустить и зайти в веб-интерфейс.

На все картинки в статье можно (и нужно) кликать и увеличивать, чтобы было лучше видно.

Policy Optimizer 

И еще один вариант, о котором, сегодня расскажу подробнее - оптимизатор политик, встроенный в сам интерфейс Palo Alto Networks. Чтобы его продемонстрировать я установил межcетевой экран у себя дома и написал простое правило: permit any to any. В принципе такие правила иногда вижу даже в корпоративных сетях. Естественно я включил все профили безопасности как видно на скриншоте слева. 


На скриншоте выше показан пример моего ненастроенного межсетевого экрана, где почти все соединения попадают в последнее правило: AllowAll, что видно по статистике в колонке Hit Count.

Zero Trust

Существует подход к безопасности под названием Zero Trust. Что это значит: мы должны разрешить людям внутри сети ровно те соединения которые им нужны и запретить все остальное. То есть нам надо добавить четкие правила по приложениям, пользователям, URL категориям, типам файлов; включить все сигнатуры IPS и антивируса, включить песочницу, DNS защиту, пользоваться IoC из доступных баз Threat Intelligence. В общем задач при настройке межсетевого экрана - приличное количество. 

Кстати минимальный набор необходимых настроек для Palo Alto Networks NGFW описан в одном из документов SANS: Palo Alto Networks Security Configuration Benchmark - рекомендую начать с него. И конечно же есть набор лучших практик по настройке межсетевого экрана у компании-производителя: Best Practice.

Итак, у меня неделю простоял дома межсетевой экран. Давайте посмотрим какой трафик в моей сети есть: 

Если отсортировать по числу сессий, то больше всего их создает bittorent, потом идет SSL, затем QUIC. Это вместе статистка и по входящему и по исходящему трафику: очень много идет внешних сканирований моего роутера.  Разных приложений в моей сети - 150. 

Итак, все это было пропущено одним правилом. Посмотрим теперь что по этому поводу говорит Policy Optimizer. Если вы смотрели выше на скриншот интерфейса с правилами безопасности, то слева внизу видели маленькое окошко, которое мне намекает, что существуют правила, которые можно оптимизировать. Давайте туда кликнем.
Что показывает Policy Optimizer:
  • Какие политики не использовались совсем, 30 дней, 90 дней. Это помогает принять решение удалить их совсем.
  • Какие приложения в политиках были указаны, но таких приложений в трафике не обнаружено. Это позволяет удалить лишние приложения в разрешающих правилах.
  • Какие политики разрешали все подряд, но там реально ходили приложения, которые было бы неплохо согласно методике Zero Trust указать явно.

Кликнем на Unused.

Чтобы показать как это работает я добавил несколько правил и они пока что за сегодня ни разу не пропустили ни одного пакета. Вот их список:


Возможно, со временем там пройдет трафик и тогда они исчезнут из этого списка. А если они будут в этом списке 90 дней - то, вы можете принять решение удалить эти правила. Ведь каждое правило дает возможность для хакера.
Существует реальная проблема при конфигурации межсетевого экрана: приходит новый сотрудник, смотрит в правила межсетевого экрана, у если у них нет никаких комментариев и он не знает почему это правило создано, нужно ли оно реально, можно ли его удалить: вдруг человек в отпуске и через 30 дней трафик снова пойдет от нужного ему сервиса. И как раз эта функция помогает ему принять решение - не пользуется никто - удалить! 

Кликнем на Unused App.

Мы кликаем в оптимизаторе и видим, что открывается интересная информация.

Мы видим, что существует три правила, где число разрешенных приложений и число реально проходивших по этому правилу приложений отличается. Мы можем кликнуть и посмотреть список этих приложений и сравнить эти списки.
Например, кликнем на кнопку Compare для правила Max.

Здесь видно, что были разрешены приложения facebook, instagram, telegram, vkontakte. Но реально трафик ходил лишь по части подприложений. Здесь нужно понимать, что приложение facebook содержит несколько подприложений. Весь список приложений NGFW можно увидеть на портале applipedia.paloaltonetworks.com и в самом интерфейсе межсетевого экрана в разделе Objects->Applications и в поиске наберите имя приложения: facebook, получится такой результат:
Итак, часть из этих подприложений NGFW увидел, а часть нет. На самом деле вы можете отдельно запрещать и разрешать разные подфункции фейсбука. Например, разрешать смотреть сообщения, но запрещать чат или передачу файлов. Соответственно Policy Optimizer говорит об этом и вы можете принять решение: разрешить не все приложения фейсбука, а только основные.
Итак, мы поняли, что списки разные. Вы можете сделать так, чтобы правила разрешали ровно те приложения, что реально ходили по сети. Для этого вы кликаете кнопку MatchUsage. Получается вот так:
И также вы можете добавить приложения, которые считаете нужными - кнопка Add в левой части окна:

И затем уже это правило можно применить и протестировать. Поздравляю!

Кликнем No Apps Specified.

В данном случае откроется важное для обеспечения безопасности окно.

Таких правил, где не указано приложение уровня L7 явно, скорее всего, в вашей сети очень много. И в моей сети есть такое правило - напомню, что я сделал его при первоначальной настройке, специально чтобы показать как работает Policy Optimizer.
На картинке видно, что правило AllowAll пропустило за промежуток времени с 9 марта по 17 марта 220 гигабайт трафика, что всего разных приложений в моей сети 150 штук. И это еще мало. Обычно в среднего размера корпоративной сети 200-300 разных приложений.
Итак, одно правило пропускает аж 150 приложений. Как правило это означает, что межсетевой экран настроен неправильно, потому что обычно в одном правиле пропускается 1-10 приложений для разных целей. Давайте посмотрим что это за приложения: кликнем кнопку Compare:
Самое чудесное для администратора в функции Policy Optimizer это кнопка Match Usage - вы можете одним кликом создать правило, где введете в правило все 150 приложений. Вручную, это делать было бы достаточно долго. Число задач для работы администратора даже в моей сети из 10 устройств - огромное.
У меня дома работает 150 разных приложений, передающих гигабайты трафика! А сколько у вас?
А что же творится в сети из 100 устройств или 1000 или 10000? Я видел межсетевые экраны где 8000 правил и я очень рад, что сейчас у администраторов есть такие удобные средства автоматизации.
Часть приложений которые увидел NGFW вам будет не нужна, поэтому вы просто их удалите, или сделаете клонирование правил кнопкой Clone (в главном интерфейсе) и в одном правиле приложения разрешите, а в другом приложения заблокируете, как точно не нужные в вашей сети. Такими приложениям часто становятся bittorent, steam, ultrasurf, tor, tcp-over-dns и другие.
Ну и давайте кликнем в другое правило - что там видно:

Да, тут приложения, характерные для multicast. Мы должны их разрешать, чтобы работал просмотр видео по сети. Кликаем Match Usage. Отлично! Спасибо Policy Optimizer.

А как же Machine Learning.

Сейчас модно говорить про автоматизацию. То что я описывал вышел - очень помогает. Существует еще одна возможность, о которой я должен рассказать. Это функционал Machine Learning, встроенный в утилиту Expedition, которая уже упоминалась выше. В этой утилите существует возможность переносить правила с вашего старого межсетевого экрана другого производителя. А еще там есть возможность анализировать существующие журналы Palo Alto Networks и предлагать какие правила написать. Это похоже на функционал Policy Optimizer, но в Expedition это еще боле расширено и вам предлагается уже список готовых правил - вам нужно их просто утвердить. Чтобы протесстировать этот функционал существует лабораторная работа - мы ее называем тест драйв. Этот тест можно сделать зайдя на виртуальные межсетевые экраны, которые сотрудники офиса Palo Alto Networks в Москве запустят по вашему запросу.

Запрос можно отправить по адресу Russia@paloaltonetworks.com и в запросе написать: Хочу сделать UTD по Migration Process.

На самом деле лабораторных работ под названием Unified Test Drive (UTD) несколько вариантов и все они доступны удаленно после запроса.



суббота, 16 марта 2019 г.

Запись конференции Palo Alto Networks 12 марта 2019


Прошла конференция и мы выложили запись
https://www.youtube.com/watch?v=n3UKaF71uk4


Тайминг
27:00 "To Cloud or not to Cloud" Alexandre Delcayre 43:10 "Что является важным критерием в проектах ИБ" Александр Парамонов 44:30 "Ваши проекты 2019-2020 года: SDN, SD-WAN, SOAR, NG SOC, UEBA, XDR, HTTP 2.0, DNS Security, SSL Decrypt" Денис Батранков 1:24:38 Cсылки на запись вебинаров 1:28:10 Круглый стол по облакам с участием Ангара (Сергей Шерстобитов, Дмитрий Пудов), Сбербанка (Сергей Валуйских), Яндекс.Облако (Григорий Отребьев), Северсталь (Сергей Гусев) 2:23:40 "Arista и Palo Alto Networks - как улучшить безопасность ядра сети" Андрей Нуштаев 2:38:57 Опыт выбора NGFW в компании EPAM, Дмитрий Чернобай, ИТ директор EPAM Systems 2:50:00 Cortex XDR - English language 3:49:49 Cortex XDR - ответы на вопросы 4:59:17 "New Buzzwords, SOC, CSIRT, PSIRT, Next Gen SOC, Red/Blue Team, Shadow IT" Денис Батранков 5:11:10 "Интеграция Autofocus в SOC и автоматизация IoC через EDL и MineMeld", Денис Батранков 5:21:55 "Что такое TTP - Tactics, Techniques and Procedures", Денис Батранков 5:26:40 "Что делает бесплатная утилита MineMeld", Денис Батранков 5:30:18 Palo Alto Networks как источник аналитики в Big Data, Юрий Бутузов, ICL 5:52:40 "В фокусе пользователь, а не IP адрес" Игорь Булатенко, QIWI 6:19:38 RedLock и Aperture, Илья Осадчий, Tiger-Optics 6:44:50 Global Protect Cloud Service Palo Alto Networks и методики защиты удаленных офисов и мобильных устройств, Денис Батранков 7:35:35 SD-WAN, Сергей Козлов, Riverbed 8:06:10 Бесплатные утилиты SANS, Expedition, Migration Tool, UTD, Best Practice Assesment, SLR, Machine Learning для улучшения вашей безопасности, Денис Батранков 8:27:50 Награждение партнеров Palo Alto Networks, команда Palo Alto Networks

Учимся сравнивать межсетевые экраны.


К сожалению сейчас datasheet любого вендора понять сложно: очень много параметров скорости в разных режимах работы и непонятно по какому критерию же выбирать. А ведь отличие по скорости в 2 раза приводит к отличию в цене в 2 раза. А цена имеет значение.

Давайте проведем небольшой экскурс по datasheet вендоров? Каких вендоров возьмем для сравнения?

Для начала простая задача для коллег по ИБ и ИТ (и для программистов тоже):

Есть два межсетевых экрана. Первый передает 64 гигабита в секунду и второй передает 64 гигабита в секунду. Процессора у обоих загружены на 100%. Первый передает и анализирует на уровне приложений данные в виде HTTP ответов по 64 килобайт, а второй в виде HTTP ответов по 4 килобайт.
Вопрос: какой МСЭ мощнее по производительности?

понедельник, 11 марта 2019 г.

Трансляция конференции Palo Alto Networks 12 марта 2019

Завтра 12 марта, проводим нашей командой конференцию в Москве для желающих быть в тренде индустрии информационной безопасности.

Программа уже готова, осталось окончательно подготовиться.
Зал рассчитан на 400 человек, а регистрация уже 750. Но как обычно из статистики известно: приходит только половина. Но риск не уместиться есть. Поэтому в этом году сделали еще и трансляцию.

Ссылка на трансляцию конференции уже готова:
https://www.youtube.com/watch?v=n3UKaF71uk4
12 марта в 9:00 начинаем!



24:00
Стало слышно Машу Глембоцкую 27:00 "To Cloud or not to Cloud" Alexandre Delcayre 43:10 "Что является важным критерием в проектах ИБ" Александр Парамонов 44:30 "Ваши проекты 2019-2020 года: SDN, SD-WAN, SOAR, NG SOC, UEBA, XDR, HTTP 2.0, DNS Security, SSL Decrypt" Денис Батранков 1:24:38 Cсылки на прошлые вебинары Palo Alto Networks https://safebdv.blogspot.com/p/blog-page.html 1:28:10 Круглый стол по облакам с участием Ангара (Сергей Шерстобитов, Дмитрий Пудов), Сбербанка (Сергей Валуйских), Яндекс.Облако (Григорий Отребьев), Северсталь (Сергей Гусев) 2:23:40 "Arista и Palo Alto Networks - как улучшить безопасность ядра сети" Андрей Нуштаев 2:38:57 Опыт выбора NGFW в компании EPAM, Дмитрий Чернобай, ИТ директор EPAM Systems 2:50:00 Cortex XDR - English language 3:49:49 Cortex XDR - ответы на вопросы 4:59:17 "New Buzzwords, SOC, CSIRT, PSIRT, Next Gen SOC, Red/Blue Team, Shadow IT, Air GAP, Mimikatz, DFIR" Денис Батранков 5:11:10 "Интеграция Autofocus в SOC и автоматизация IoC через EDL и MineMeld", Денис Батранков 5:21:55 "Что такое TTP - Tactics, Techniques and Procedures", Денис Батранков 5:26:40 "Что делает бесплатная утилита MineMeld", Денис Батранков 5:30:18 Palo Alto Networks как источник аналитики в Big Data, Юрий Бутузов, ICL 5:52:40 "В фокусе пользователь, а не IP адрес" Игорь Булатенко, QIWI 6:19:38 RedLock и Aperture, Илья Осадчий, Tiger-Optics 6:44:50 Global Protect Cloud Service Palo Alto Networks и методики защиты удаленных офисов и мобильных устройств, Денис Батранков 7:35:35 SD-WAN, Сергей Козлов, Riverbed 8:06:10 Бесплатные утилиты SANS, Expedition, Migration Tool, UTD, Best Practice Assesment, SLR, Machine Learning для улучшения вашей безопасности, Денис Батранков 8:27:50 Награждение партнеров Palo Alto Networks, команда Palo Alto Networks