Аудиокурс по NGFW в дороге

Современная безопасность ушла далеко вперед, если раньше мы слушали курс по IPS в течении недели, то теперь IPS - это десятая часть функционала устройства под названием NGFW. Есть ли у нас десять недель, чтобы освоить NGFW? Обычно нет. Но и их мало, реально нужно год - два, чтобы освоить эти устройства.

Есть три компонента у всех NGFW: приложения, пользователи и защита. У Palo Alto Networks это App-ID, User-ID и Content-ID. Если один раз разобраться что эти функции все делают, то складывается понимание всех NGFW и тогда ты уже понимаешь на новом уровне что можешь сделать со своим трафиком. Есть набор видеороликов обучающих на сайте https://panacademia.ru/webinars/ 

Лучше всего посмотреть вот эти три, где все знания сконцентрированы.

App-ID 

User-ID 

Content-ID 

Рекомендации по защите от фишинга

Недавно прошла конференция Коммерсант, где мы обсуждали проблемы фишинга, запись тут

 https://www.kommersant.ru/conference/video

Что сейчас происходит?

• Люди случайно попадают на копии сайтов: интернет-магазинов, банков и др. через поиск или через контекстную рекламу. Вы ищете магазин, допустим Леруа Мерлен, но не знаете как правильно пишется их сайт по-французски, делаете ошибки и опечатки и находите какой-то сайт, и потом выясняете, что это просто компания, которая доставляет вам товары из этого магазина, но не сам магазин. Или еще хуже - это поддельный сайт, где оплатить товар можно, но получить его и деньги - никогда. Сайт, на который вы зашли может быть прокси-сайтом, то есть он показывает вам экран известного интернет магазина и одновременно данные которые вы туда вводите: ваш логин/пароль и номер карты. Часто это работает на том, что вы не смотрите на иконку рядом с названием сайта, а там должен быть "замочек", и не смотрите на само название сайта: используются похожие начертания, но сайт реально не тот. Вот такой замочек, например, у моего блога:
  
  Если вы попали на копию, то даже профессионалам порой бывает сложно отличить настоящий сайт от поддельного. Стали применять интересную технологию: сайт работает по HTTP, а не по HTTPS - и если вы невнимательны и не проверяете наличие замочка в URL, то отдаете сайту все свои знания про свои пароли и кредитки.
• Сюда также отношу фейковые приложения в телефоне. Нужно смотреть рейтинг и сколько людей уже поставило это приложение. Если приложение под названием Belka поставило всего 100 человек, то стоит задуматься то ли это приложение, которое вы хотели поставить. 

Зачем это?

• Украсть ваши деньги.
• Украсть ваш пароль и требовать выкуп.

Как защищаться домашним пользователям?

1. Встроенная защита от фишинга в браузеры уже есть у всех поставщиков: Chrome, Firefox, Edge, Safari. Проверьте что соответствующая галочка включена в разделе Безопасность.
2. Вы должны ожидать, что защита будет блокировать сразу вредоносный URL - встроенные средства защиты от фишинга в браузер пользуются базой таких сайтов.
3. Google Chrome молодец - он проверяет также ваши логины/пароли по базе украденных паролей. Они собирают все публично выложенные пароли и когда вы вводите свой пароль - смотрят, нет ли его в базе украденных. Если ваш пароль украли - смените его!
4. Новые сайты  - это угроза похуже. Их еще нет в базах. И что делать? Начать с того, что сайт работает по HTTPS и он с правильным сертификатом. Тот самый "замочек" перед названием сайта. Однако существуют бесплатные сертификаты, например, Let's encrypt и хакеры обычно ими пользуются. 
5. Вас могут защищать дополнительные плагины к браузеру - они проверяют репутацию сайта и показывают ее вам. Например, если используется Let's encrypt, то это должно настораживать и это сразу снижает репутацию сайта. Например, есть расширение Netcraft.
6. Пользоваться двухфакторной аутентификацией! Если instagram, facebook и другие сайты уже сделали это - включите! Если какой-то сайт не сделал - требуйте. Поскольку это также защищает от фишинга.
7. Еще нужно проверять по категориям и блокировать неизвестные еще, но это может только NGFW которые есть только в корпоративных сетях. Однако сейчас распространены сервисы класса SASE или SWG - защита из облакака. Вы можете пользовать ними - там есть в том числе URL фильтрация по категориям. Но они также требуют настройки. 
8. Вы можете у вас дома пользоваться внешним защищенным DNS, например, Яндекс DNS. У него есть информация по вредоносным адресам DNS и он подменяет ответы к таким сайтам на страницу заглушку, чтобы оберечь вас от заражения или кражи данных.
9. И еще совет: заносите свои сайты, где вы тратите деньги в закладки, чтобы не искать их и не кликать на ссылки в контекстной рекламе.

Как защищаться компаниям?

1. Все то же самое что и домашние пользователи, например, использовать встроенную защиту от фишинга в браузере. Попросите свою техподдержку это включить. Также проверку ваших паролей по базе украденных и дополнительные плагины и возможно также менеджер паролей.
2. Поскольку у безопасника компании есть еще одна задача: защищать не просто своих сотрудников, а еще и клиентов своей компании, например, которые пользуются приложениями компании, то нужно еще проверять приложения в Google Play и Apple Store, чтобы там не появлялись фейки.
3. Если вы пишете приложение для компании, то лучше использовать взаимную аутентификацию: не только клиент проверяет что сервер тот самый, но и сервер проверяет, что приложение то самое.
4. Использовать двухфакторную аутентификацию - здесь много уже готовых средств в корпоративной сети, но также ваши NGFW могут добавлять второй фактор поверх любого приложения.
5. Есть программы, которые находят копии сайта вашей компании. Их надо запускать периодически и оповещать свою службу ИБ о находках.
6. Есть также утилиты, которые могут проверять создание похожих доменов. Это нужно делать постоянно.
7. Грамотное решение защиты своих клиентов: Аватар. Например, так сделано на портале gosuslugi.ru. Когда хакер делает поддельный сайт, то он не может скопировать ваш аватар, и поэтому когда вы заходите на подделку, то вы свой аватар там не найдете и это уже является сигналом, что что-то идет не так.
8. В компании нужно использовать NGFW, в котором встроены механизмы блокировки фишинга по URL категориям. В Palo Alto Networks NGFW недавно встроили Machine Learning, который позволяет определять новые фишинговые сайты и даже zero-day файлы на лету.
9. Также в NGFW есть проверка ввода паролей и логинов домена - то есть, когда вы пытаетесь ввесть логин и пароль от своего домена на стороннем сайте (поддельном), то NGFW это предотвратит или оповестит.
10. Что вообще может проверять компания: какие типы файлов хочет скачать человек, какие URL хочет посетить, какие DNS адреса запрашивает. Все это защищается.
11. Также VPN клиенты позволяют подключить домашний компьютер сотрудника к корпоративному NGFW в котором есть все методики защиты. Или сейчас весь мир переходит к облачному сервису защиты, Gartner называет этот сервис SASE. Но это отдельный разговор.
12. Также рекомендуется запустить программу рассылки тестовых фишинговый писем, например, компания Антифишинг предлагает это.

Тест

В завершение проверьте свои навыки защиты от фишинга 

• бесплатный тест от Тинькофф https://journal.tinkoff.ru/digest/ 
• бесплатный тест от Google https://phishingquiz.withgoogle.com/

Как правильно писать заявку на покупку NGFW

Когда вы хотите купить NGFW, то нужно что-то написать в офис производителя, чтобы он подобрал вам модель. 

Что нужно прислать в заявке:

1. Планируемый максимальный защищаемый объем трафика в секунду. (Если NGFW будет защищать периметр или ЦОД, то посмотрите вашу максимальную скорость трафика на периметре или в ЦОД во всех направлениях: входящий + исходящий на всех интерфейсах.) Например: хотим NGFW для защиты трафика на скоростях в пике до 10 Гбит/с.

2. Число хостов в сети, которые генерируют трафик. (На самом деле инженеру для оценки нужно число новых соединений в секунду. Опыт показывает, что каждый хост создает в среднем 0,1 новых соединения в секунду. Но лучше взять с запасом по соединению на каждый хост в секунду. То есть для 10000 хостов число новых соединений в секунду будет 10000.) Пример запроса: у нас 10000 хостов в сети (посчитайте все сервера, компьютеры, роутеры, принтеры и другой IoT)

3. Если есть публичные ресурсы к которым ходит весь Интернет, то сколько новых соединений в секунду в пике бывает на эти ресурсы (если получится это оценить). Слово новых - ключевое. Не путайте число новых соединений с числом одновременных соединений. Обычно это можно посмотреть на графике системы мониторинга, которая обычно у всех есть. Завышать не нужно, потому что сам сервер может не выдержать число новых соединений в секунду, которые вы запросили. Обычно еще стоит WAF или DDOS, который как раз режет число новых соединений, и на самом деле NGFW тоже содержит функции сдерживания числа новых соединений в секунду. (Если у вас есть F5 или A10 или еще какие-то балансировщики - это тоже надо упомянуть. Но это отдельный разговор.) Пример: Число новых соединений в секунду в пике на наши веб сервера: 1000 HTTP(S) соединений в секунду. 

4. Нужна ли подписка Threat Prevention, которая включит обновления антивируса, IPS, anti-spyware, TI, DNS Sinkholing. У некоторых производителей подписка anti-spyware называется anti-bot. 

5. Нужна ли подписка URL Filtering. Обычно в ЦОД она не требуется. 

6. Нужна ли подписка Wildfire - песочница облачная и также встроенная (у Palo Alto Networks внутри NGFW есть Machine Learning, который обнаруживает zero day на лету)

7. Нужна ли подписка Global Protect (функционал HIP для удаленных сотрудников, позволяющий пускать только защищенные компьютеры в сеть компании )

8. Нужна ли подписка DNS Security для определения DGA доменов. 

9. Нужна ли подписка Autofocus для расследования инцидентов и подключения к TIP.

10. Нужна ли подписка IoT для контроля устройств IoT в вашей сети. Замечу, что контроль ICS/ SCADA уже входит в стандартную поставку.

10. Будет это кластер из 2 устройств или standalone.

11. На сколько лет посчитать подписки и поддержку. Обычно заплатить за 3 года сразу дешевле чем три раза покупать по одному. Пример: Нужны все подписки на 5 лет.

PS: На самом деле инженер производителя в первую очередь оценивает тип вашей компании: финансовая, медиа, телеком, производство, государство и др, потому что это разный трафик и это разная нагрузка на устройство. Например, финансовый трафик содержит более короткие транзакции и поэтому NGFW больше напрягается. Причем модель иногда нужно давать в 2 раза мощнее, чем заказчику с таким же трафиком (по сумме байт в секунду), но с более длинными транзакциями. То есть на трафик 10 Гбит/с для коротких транзакций будет одна модель, на трафик 10 Гбит/с для длинных транзакций - другая. Проблема, что никто не знает своего трафика и длины транзакций уж тем более. Поэтому перед покупкой NGFW его нужно тестировать именно на своем трафике и со всеми включенными функциями. Обычно это можно сделать через SPAN порт вашего свитча, что не прерывает работы компании на время теста.

Пример datasheet производителя:

Основой для выбора будет параметр Threat Prevention Throughput и New Sessions per second. Параметр максимальное число одновременных сессий (Max Session) обычно не влияет, потому что он у всех NGFW поддерживается с большим запасом, даже если измерен с буферами для хранения L7 сессий. Чтобы где-то хостами генерировалось одновременно больше 1 миллиона сессий одновременных - я не видел даже у заказчиков у которых 200000 пользователей.

Как сетевой защите отличить корпоративный аккаунт от личного в Office365?

Как различить куда заходит сотрудник в облаке: в корпоративный аккаунт или в свой личный? С точки зрения межсетевого экрана это один и тот же сайт, например, login.microsoft.com. Но отличие в том, что логин происходит на разные аккаунты. Облачные провайдеры SaaS придумали как ограничить доступ - межсетевой экран должен лишь сказать облаку какие домены разрешены для логина, а какие нет. Допустим вы хотите, чтобы заходили только на ваш домен business.com. И вы должны это сказать облаку. Это делается при помощи специального заголовка HTTP, который называется Restrict-Access-To-Tenants, что описано в документации у Microsoft. Но кто будет добавлять такой заголовок в трафик из вашей сети? Ваш межсетевой экран. В Palo Alto Networks NGFW эта функция называется HTTP Header Insertion. Эта функция работает для различных типов облаков, включая Office365. Подробно описание тут.

Если ваш сотрудник попытается зайти на несанкционированный домен, то сам портал Microsoft выдаст сообщение, что это запрещено.

После того как вы взяли под контроль доступ к порталу возникнет вопрос: великолепно, но к корпоративному аккаунту есть доступ из Интернет, минуя корпоративный firewall. И тут есть хороший вариант: использовать продукт Prisma SaaS, который в облаке контролирует что делает сотрудник и включает DLP, антивирус, песочницу и контроль писем и файлов. Подробнее в видеоролике

SOAR - берегите свое время, используйте автоматизацию

Система оркестрации, автоматизации и реагирования (СОАР) все чаще упоминается на встречах и одновременно многие спрашивают что именно другие автоматизировали. Мы собрали самые частые задачки в одну презентацию и показали. На самом деле плейбуков несколько тысяч и вы должны автомтизировать те задачи, которые "устали" делать сами вручную. Это может быть даже не совсем ИБ задача, а немного ИТ, или про финансы, или про операционные контроли.

А вообще SOAR уже не тот ) Надо использовать XSOAR! 

Подробнее на сайте продукта XSOAR https://www.paloaltonetworks.com/cortex/soar

Machine Learning для написания правил NGFW

Задача написания правил на межсетевом экране непростая, потому что правил много. Я встречал межсетевые экраны, где было 80 тысяч правил. Чтобы не ошибиться в добавлении новых правил применяются различные методы, но самое сложное - это исправлять текущие правила, поскольку ты должен изучить какие соединения были разрешены и не знаешь можно ли часть из них запретить, если тебе кажутся они нелегитимными. 

Я уже рассказывал про встроенный оптимизатор политик в NGFW, который позволяет узнать сколько разных приложений ходит по одному правилу и либо сузить этот список, либо создать несколько новых правил для "лишних" приложений. Это реально упрощает задачу по "снижению площади атаки" сервера, а точнее по снижению числа возможных методик обхода межсетевого экрана. 

Обычно в колонке Application администраторы пишут ANY, то есть они не хотят думать какие конкретно приложения нужны данному источнику. Ну и для справедливости надо сказать, что и в колонке Service также часто вижу ANY - либо никто не знал какой порт нужно открыть, либо открыли временно и забыли.

Существует утилита Expedition, которая позволяет сделать автоматический анализ журналов и правил и также автоматически проставить в колонку Application нужные приложения, которые там и так ходят и которые вы, наверняка, хотели сами вписать туда, но руки не дошли сделать это несколько тысяч раз. 

В интерфейсе это выглядит вот так. 

Видно, что в тех правилах, где стояло any и шли приложения L7, Expedition предлагает добавить эти приложения явно в правило. То же самое и если, уже были приложения, допустим ssl, и утилита видит в журнале, что там не все возможные варианты ssl, а конкретные совершенно сервисы, использующие ssl, то она разрешает именно эти. Или наоборот, вы разрешили больше приложений,  ходят не все - она предлагает удалить ненужные.

Автоматизация позволяет для всех ваших тысяч текущих правил межсетевого экрана просканировать журналы трафика, сопоставить с тем, какие правила какие приложения разрешили и автоматически создать новые, более точные правила.

В общем утилита чудесная. Она бесплатная и скачивается прямо с портала