Межсетевые экраны нового поколения (Next Generation Firewall, NGFW)
Устройства, осуществляющие контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Межсетевые экраны нового поколения обладают расширенным функционалом и позволяют идентифицировать пользователей, приложения и содержимое трафика, таким образом выполняя часть функций IPS.
Защита периметра сети является важнейшим элементом в создании эффективной и многоуровневой системы защиты, позволяющей свести к минимуму внешние угрозы. До недавнего времени под защитой периметра подразумевалось использование межсетевых экранов, фильтрующих трафик только по сетевым портам, IP- и MAC-адресам. Но в современном мире большинство сетевых атак осуществляются на уровне приложений, поэтому на смену стандартным межсетевым экранам пришли межсетевые экраны нового поколения. Отличия последних в том, что они осуществляют фильтрацию трафика не только на сетевом уровне, но и на уровне приложений, проводя, таким образом, глубокий анализ трафика (Deep Packet Inspection, DPI) и блокируя сложные распределенные атаки.
Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) – это высокопроизводительные программно-аппаратные комплексы, предназначенные для защиты сети от несанкционированного доступа и включающие в свой состав компоненты защиты, направленные на предотвращение различных видов атак.
Решаемые задачи
Защита корпоративной сети на уровне периметра с применением современных методов защиты от сетевых атак;
Организация системы защиты каналов связи между удаленными офисами Компании и мобильными пользователями;
Централизованное управление всеми компонентами системы через единую консоль с возможностью оперативного реагирования на инциденты.
Основные функции
Межсетевое экранирование:
Фильтрация трафика в различных режимах (пакетный фильтр, stateful inspection, application-level).
Обнаружение и предотвращение вторжений (IDS/IPS):
Обнаружение и предотвращение попыток несанкционированного доступа к внутренним ресурсам сети в режиме реального времени;
Блокировка потенциально опасных соединений;
Создание собственных сигнатур атак.
Виртуальные частные сети (VPN):
Создание защищенных каналов связи между несколькими офисами Компании в режиме «сеть-сеть» (site-to-site VPN);
Организация защищенного удаленного доступа к внутренним ресурсам Компании из сети Интернет в режиме «точка-сеть» (Remote access VPN).
Централизованное управление
Централизованное управление и мониторинг межсетевыми экранами из единой консоли;
Своевременное удаленное обновление версий межсетевых экранов, а также баз сигнатур атак;
Анализ поступающих событий в режиме реального времени;
Отправка уведомлений об обнаруженных инцидентах;
Создание централизованных отчетов.
Идентификация пользователей
Активная и пассивная аутентификация пользователей с использованием различных схем аутентификации, в том числе корпоративной службы каталогов (например, Active Directory).
Масштабируемость и высокая производительность
Возможность создания отказоустойчивых (кластерных) конфигураций;
Высокая пропускная способность, а также возможность агрегирования каналов (802.3ad).
Схема работы
Одна из возможных схем функционирования межсетевых экранов нового поколения приведена на рисунке
Алгоритм внедрения
Внедрение системы межсетевого взаимодействия (далее Система), как правило, проходит в несколько этапов.
Этап 1. Обследование инфраструктуры Заказчика
Планирование проведения работ по обследованию.
Разработка регламента взаимодействия между Заказчиком и Исполнителем.
Разработка программы и методики проведения обследования.
Проведение обследования инфраструктуры Заказчика, включая пожелания по функционалу, принципам реализации и дальнейшей эксплуатации Системы, с целью сбора исходных данных для разработки проектной документации.
Разработка отчета по результатам обследования.
Этап 2. Проектные услуги
Разработка технического задания на Систему.
Разработка технического (техно-рабочего) проекта на Систему.
Разработка эксплуатационной документации.
Разработка программы и методики испытаний.
Разработка регламентных документов.
Этап 3. Внедренческие услуги
Разработка плана-графика проведения работ.
Проведение пусконаладочных работ.
Проведение предварительных (приемосдаточных) испытаний.
Этап 4. Услуги технической поддержки
Техническая поддержка Системы (5×8 или 24х7) согласно выбранному уровню.
Консультирование по вопросам функционирования поддерживаемой Системы.
Этап 5. Обучение специалистов заказчика
Обучение производится в сертифицированном обучающем центре и/или в режиме консультаций специалистов заказчика во время внедрения и опытной эксплуатации.
Положительные эффекты от внедрения
Защита корпоративной сети от несанкционированного удаленного доступа со стороны внешних сетей.
Безопасное взаимодействие пользователей и информационных ресурсов, расположенных в корпоративной сети, с внешними сетями, в том числе Интернет.
Повышение производительности обслуживающего персонала и оптимизация затрат на сопровождение Системы.
Основные производители межсетевых экранов нового поколения
Компания ЗИКС имеет все необходимые партнерские статусы, квалифицированных специалистов и успешный опыт в проектировании и внедрении систем межсетевого взаимодействия с использованием продуктов ключевых производителей.
Зарубежные:
Check Point Software Technologies, Inc
McAfee, Inc
Cisco Systems, Inc
Российские:
ИнфоТеКС
С-Терра СиЭсПи
Код безопасности
Развернуть
Система защиты от утечек информации (Data Leak Prevention, DLP)
Комплексное решение, позволяющее предотвратить утечку конфиденциальных данных за пределы корпоративной сети.
Развернуть
Контроль привилегированных пользователей (PUM)
Комплекс организационных и технических мер, позволяющий осуществлять мониторинг и контроль действий привилегированных пользователей (администраторы, подрядчики, аутсорсеры, партнеры) на серверах и рабочих станциях.
Развернуть
Защита мобильных устройств
Решения для контроля и защиты данных корпоративных и личных мобильных устройств сотрудников.
Развернуть
Мониторинг и корреляция событий информационной безопасности
Процесс автоматизированного сбора и анализа информации о событиях безопасности, поступающих из различных источников.
В связи с появлением и активным развитием новых технологий ИТ-инфраструктура большинства компаний значительно разрастается, архитектура становится более сложной и разнообразной. В подобных распределенных системах происходят миллионы событий, оперативный анализ которых становится невозможным без применения автоматизированных средств.
Именно от своевременного анализа и реакции на возникающие угрозы зависит не только состояние информационной безопасности (ИБ) предприятия, но и эффективное функционирование всех средств ИТ-инфраструктуры.
Для оперативной обработки поступающих событий с целью выявления инцидентов и своевременного реагирования на них требуется применение специализированных систем – систем мониторинга и корреляции событий (SIEM). Система мониторинга и корреляции событий (далее – Система) централизованно собирает и анализирует информацию, записывает поступающие события в базу данных, анализирует поведение на основании предыдущих наблюдений и созданных правил и направляет уведомления.
Решаемые задачи
Своевременное обнаружение и реагирование на критичные инциденты ИБ.
Выявление инцидентов, которые нельзя эффективно обнаружить имеющимися средствами защиты информации.
Предоставление доказательной базы, пригодной для внутренних расследований инцидентов ИБ.
Централизованное долгосрочное хранение событий ИБ.
Постоянный мониторинг и контроль состояния ИБ.
Обеспечение соответствия требованиям стандартов ИБ.
Основные функции
Активный и пассивный сбор событий ИБ из различных источников (устройств) корпоративной сети.
Агрегация, фильтрация, нормализация и корреляция событий ИБ.
Управление системой с помощью централизованной консоли управления.
Обнаружение инцидентов ИБ в режиме реального времени и возможность оповещения необходимых сотрудников.
Наличие инструментов для быстрого поиска событий и расследования инцидентов.
Возможность выявления сложных информационных атак.
Широкие возможности по масштабированию системы.
Возможность хранения событий необходимое количество времени.
Схема работы
Система имеет многоуровневую модульную архитектуру, что обеспечивает широкие возможности по масштабированию и позволяет внедрять её в компаниях любого размера.
Архитектура SIEM–решений представлена на рисунке.
Алгоритм внедрения
В рамках создания системы мониторинга и корреляции событий ИБ ООО «Компания ЗИКС» выполняет полный комплекс работ:
Этап 1. Предпроектное обследование инфраструктуры Заказчика.
Планирование проведения работ по обследованию.
Разработка регламента взаимодействия между Заказчиком и Исполнителем.
Сбор информации об источниках событий, подключаемых к Системе.
Определение списка действий и событий источников событий.
Определение объема событий, поступающих с источника событий.
Этап 2. Проектные услуги
Разработка технического задания на Систему.
Разработка технического (техно-рабочего) проекта на Систему.
Разработка эксплуатационной документации (инструкции по эксплуатации Системы, инструкций администраторов и операторов).
Разработка программы и методики испытаний.
Разработка регламентных документов (регламенты и политики управления инцидентами ИБ).
Этап 3. Внедренческие услуги
Разработка плана-графика проведения работ.
Проведение пусконаладочных работ (установка всех компонентов системы, настройка источников событий и правил обработки).
Опытная эксплуатация (тестирование функциональных возможностей Системы, отработка регламентов управления инцидентами).
Проведение приемосдаточных испытаний.
Этап 4. Услуги технической поддержки
Техническая поддержка Системы (5×8 или 24х7) согласно выбранному уровню.
Консультирование по вопросам функционирования поддерживаемой Системы.
Этап 5. Обучение специалистов заказчика
Обучение производится в сертифицированном обучающем центре и/или в режиме консультаций специалистов заказчика во время внедрения и опытной эксплуатации.
Положительные эффекты от внедрения
Своевременное реагирование на критичные инциденты ИБ.
Ускорение расследования инцидентов ИБ.
Повышение эффективности управления ресурсами компании.
Повышение эффективности работы подразделения ИБ компании.
Основные производители систем мониторинга и корреляция событий ИБ
Компания ЗИКС имеет все необходимые партнерские статусы, квалифицированных специалистов и успешный опыт в проектировании и внедрении систем мониторинга и корреляции событий ИБ с использованием продуктов ключевых производителей.
Зарубежные:
Hewlett Packard Enterprise
IBM Security
Splunk
Intel Security (McAfee)
EMC (RSA)
Российские:
Positive Technologies
НПО «Эшелон»
RuSIEM
Развернуть
Криптографическая защита данных
Аппаратные (или программно-аппаратные) решения, предназначены для защиты конфиденциальной информации и персональных данных от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия.
Проблема защиты конфиденциальной информации от несанкционированного доступа является одной из самых злободневных. Для надежной защиты важных данных на компьютерах, ноутбуках и других устройствах применяются системы криптографической защиты данных. Как показывает практика, использование таких систем является одним из наиболее надежных способов обеспечения одновременно и безопасности информации, и удобства доступа к ней.
Развернуть
Средства идентификации и аутентификации пользователей
Программные или аппаратно-программные средства, обеспечивающие защиту от несанкционированного доступа к информации.
Развернуть
Антивирусная защита электронной почты и защита на уровне шлюза
Защита корпоративной почты и внутреннего периметра сети от вирусов, нежелательных программ и несанкционированных рассылок электронных писем, в том числе спама.
Проникновение в сеть и заражение компьютеров сети вредоносным программным кодом являются сегодня наиболее распространенными угрозами корпоративной информации и IТ-инфраструктуры в целом. Вирус, попавший в корпоративную локальную сеть, может привести к самым разным последствиям – от кражи конфиденциальной информации до выхода из строя всей сети.
Развернуть
Комплексная система защиты виртуальной инфраструктуры
Комплексная система, обеспечивающая защиту от реализации актуальных угроз безопасности информации при ее обработке в среде виртуализации.
Появление и массовое использование виртуальных сред привело к формированию новых угроз безопасности, требующих особого подхода к решению. Так, например, несанкционированное получение административных прав в виртуальной инфраструктуре (ВИ) может привести к компрометации всех данных системы в целом.
