Logo bg.businessdailytoday.com
Как да идентифицираме и предотвратяваме заплахите за мрежовата сигурност
Как да идентифицираме и предотвратяваме заплахите за мрежовата сигурност
Anonim

Потенциалните атаки, уязвимости на софтуер и платформа, злонамерен софтуер и неправилно конфигуриране могат да представляват сериозни заплахи за организациите, които искат да защитят частни, поверителни или собствени данни. За щастие, различни технологии - общо известни като унифицирано управление на заплахите (UTM) - улесняват използването на виртуализирани и / или базирани на уреди инструменти, за да осигурят цялостно и цялостно покритие на сигурността.

В комбинация с редовни актуализации, услуги за мониторинг и управление и ключови изследвания на сигурността и разузнавателни данни, организациите могат да издигнат защити, използвайки UTM и стабилна политика за сигурност, за да се справят с този масив от заплахи.

Какво влиза в унифицираното управление на заплахите?

Историята на информационната сигурност и палиативните технологии се връща към 80-те години на миналия век, когато елементите на периметрова сигурност (чрез защитни стени и екраниращи рутери) и защита от зловреден софтуер (предимно под формата на ранни антивирусни технологии) стават достъпни. С течение на времето, тъй като заплахите се развиха в усъвършенстване и възможности, други елементи, създадени да осигурят бизнес или организационни мрежи и системи, станаха достъпни за противодействие на подобни неща. Те включват проверки по имейл, скрининг на файлове, защита от фишинг и бели списъци и черни списъци за IP адреси и URL адреси.

От средата на 90-те до първото десетилетие на 21 век имаше невероятно разпространение на точкови решения за противодействие на специфични видове заплахи, като например злонамерен софтуер, атаки, базирани на IP, разпространени атаки за отказ на услуга (DDoS) и измамници уебсайтове с изтегляне от драйв. Това доведе до натиск на софтуерни решения и хардуерни уреди, предназначени да противодействат на отделните класове заплахи. За съжаление, колекция от системи за сигурност с един фокус не може да помогне, но липсва последователна и съгласувана координация.

Уви, това не дава възможност за откриване и смекчаване на хибридни атаки, които могат да започнат с измамен URL адрес, вграден в туитър или имейл съобщение, да продължите с изтегляне на драйв при достъп до този URL адрес и наистина да стартирате при скрито инсталиран keylogger екипи с времеви предавания на заснети данни от заден качил. Още по-лошото е, че много от тези приложения са уеб-базирани и използват стандартни адреси на HTTP портове, така че скринингът на съдържанието и активността на по-високо ниво става необходим за откриване и противодействие на нежелани влияния по време на работа.

Най-просто казано, основното предположение на UTM е да създава мощни, персонализирани компютърни архитектури, които могат да обработват, да проверяват и (когато е необходимо) да блокират големи количества мрежов трафик при или близо до проводни скорости. Същите данни, които трябва да се търсят за IP адреси или URL адреси в черния списък, трябва да бъдат проверени за подписи на зловреден софтуер, защитени срещу изтичане на данни и проверени, че протоколите, приложенията и данните са разрешени и доброкачествени. Ето защо типичните UTM решения обикновено групират много много функции, включително тези:

  • Блокът на прокси услугите разкрива подробности за вътрешните IP адреси в мрежите и проверява комуникациите и трансферите на данни на ниво приложение.
  • Държавната проверка на пакети разграничава законните мрежови комуникации от заподозрените или известни злонамерени форми на комуникация.
  • Дълбоката проверка на пакети позволява да се проверява частта данни или полезния товар на мрежовите пакети. Това съоръжение не само защитава от злонамерен софтуер, но също така позволява проверки на данни, за да блокира изтичането на класифицирани, собствени, частни или поверителни данни през мрежовите граници. Този вид технология се нарича предотвратяване на загубата на данни (DLP). DPI технологията също поддържа всички видове филтриране на съдържание.
  • Декриптирането на пакети в реално време използва специален хардуер (който по същество възпроизвежда софтуерни програми под формата на високоскоростна схема за извършване на сложен анализ на данни), за да позволи дълбока проверка при или близо до скоростта на мрежата на проводника. Това позволява на организациите да прилагат контроли на ниво съдържание дори за криптирани данни и да екранизират такива данни за спазване на правилата, филтриране на зловреден софтуер и други.
  • Работата с имейли включва откриване и премахване на злонамерен софтуер, филтриране на спам и проверка на съдържанието за фишинг, злонамерени уебсайтове и черни списъци с IP адреси и URL адреси.
  • Откриването на проникване и блокирането наблюдава входящите модели на трафик за откриване и реагиране на DDoS атаки, както и по-нюансирани и злонамерени опити за нарушаване на мрежовата и системната сигурност или получаване на неоторизиран достъп до системи и данни.
  • Контролът на приложенията (или филтрирането) наблюдава приложенията, които се използват - особено уеб базираните приложения и услуги - и прилага политика за сигурност за блокиране или гладуване на нежелани или неоторизирани приложения от консумация на мрежови ресурси или осъществяване на неоторизиран достъп до (или прехвърляне) на данни.
  • Виртуалната частна мрежа (VPN) или устройствата за отдалечен достъп позволяват на отдалечените потребители да установят защитени частни връзки чрез връзки в обществена мрежа (включително интернет). Повечето организации използват такива технологии, за да защитят мрежовия трафик от проникване, докато е по пътя от подател до получател.

Съвременните UTM устройства включват всички тези функции и още повече, като комбинират бърза, мощна мрежова схема със специално предназначение с компютърни съоръжения с общо предназначение. Персонализираната схема, която излага мрежовия трафик на подробни и старателни анализи и интелигентно боравене, не забавя доброкачествените пакети в транзит. Той обаче може да премахне подозрителни или съмнителни пакети от текущите потоци от трафик, превръщайки ги в програми и филтри. От своя страна тези агенции могат да извършват сложен или сложен анализ за разпознаване и фолиране на атаки, филтриране на нежелано или злонамерено съдържание, предотвратяване на изтичане на данни и гарантиране, че политиките за сигурност се прилагат за целия мрежов трафик.

Единни доставчици на управление на заплахите

UTM устройствата обикновено имат формата на мрежови уреди със специално предназначение, които седят на границата на мрежата, пренасочвайки връзките, които свързват вътрешни мрежи към външни мрежи чрез високоскоростни връзки към доставчици на услуги или комуникационни компании.

По дизайн UTM устройствата координират всички аспекти на политиката за сигурност, така че прилагат последователен и съгласуван набор от проверки и баланси към входящия и изходящия мрежов трафик. Повечето производители на UTM устройства изграждат своите уреди за работа с централизирани уеб базирани конзоли за управление. Това позволява на компаниите за управление на мрежи да инсталират, конфигурират и поддържат UTM устройства за своите клиенти. Освен това централизираните ИТ отдели могат да поемат тази функция за себе си. Такъв подход гарантира, че едни и същи проверки, филтри, контроли и прилагане на политиките се прилагат за всички UTM устройства еднакво, като се избягват пропуските, които интегрирането на множество решения за различни точки (дискретни защитни стени, електронни уреди, филтри за съдържание, проверка на вируси и така нататък) може да изложи.

Избор на най-добрите доставчици на UTM

Gartner отчете продажби в размер на 2.18 милиарда долара за пазара на UTM през 2017 г. Очаква този пазар да продължи да нараства в тандем с общите инвестиции в ИТ в обозримо бъдеще (ставки в диапазона 2-5% се прилагат за повечето икономики, но са по-високи за водещите икономики като страните от БРИК).

Находчивите купувачи търсят функции като описаните в предишния раздел (сложни защитни стени с дълбока проверка на пакети, откриване и предотвратяване на проникване, контрол на приложението, VPN, филтриране на съдържание, защита на загуба / изтичане на данни, защита от злонамерен софтуер и т.н.). Тези дни купувачите търсят и тези функции:

  • Поддръжка на сложни технологии за виртуализация (за виртуални клиенти и сървъри, както и виртуализирани реализации за самите UTM уреди)
  • Контроли за крайни точки, които прилагат политиките за корпоративна сигурност на отдалечени устройства и техните потребители
  • Вградени безжични контролери за консолидиране на кабелен и безжичен трафик на едно и също устройство, опростяване на прилагането и прилагането на политиката за сигурност и намаляване на сложността на мрежата

И накрая, усъвършенстваните UTM устройства трябва също да поддържат гъвкави архитектури, чийто фърмуер може лесно да бъде надстроен, за да включва нови средства за филтриране и откриване и да отговори на непрекъснато променящия се пейзаж на заплахите. Производителите на UTM обикновено работят с големи постоянни екипи за сигурност, които следят, каталогизират и реагират на възникващите заплахи възможно най-бързо, като предоставят предупреждения и насоки на клиентските организации, за да избегнат ненужното излагане на рискове и заплахи.

Някои от най-известните имена в компютърната индустрия предлагат UTM решения на своите клиенти, но не всички предложения са еднакви. Потърсете решения от компании като Cisco, Netgear, SonicWall и Juniper. Сигурно ще намерите оферти, които осигуряват правилното съчетание от функции и контроли, заедно с характеристиките на размера, скоростта и разходите, предназначени да задоволят вашите нужди за сигурност, без да нарушавате бюджета си.

ИТ инсек сертификати, които са адресирани към UTM

Тъй като посещението на периодичното проучване на сертификатите за информационна сигурност в SearchSecurity потвърждава, в момента в тази широка област са достъпни повече от 100 активни и текущи идентификационни данни. Не всички от тях обаче адресират UTM пряко или изрично. Въпреки че няма достоверност, която да се фокусира изключително върху този аспект на информационната сигурност, следните добре известни сертификати включват покритие на този предмет в изпитни цели или свързаното с тях общо знание, което кандидатите трябва да овладеят:

  • ISACA сертифициран одитор на информационни системи (CISA)
  • Сертификати за сигурност на Cisco: CCNA Security, CCNP Security, CCIE Security
  • Сертификати за хвойна за хвойна: JNCIS-SEC, JNCIP-SEC, JNCIE-SEC, JNCIA-SEC
  • (ISC) 2 сертифицирани специалисти по сигурността на информационните системи (CISSP)
  • Сертифициран ръководител на инциденти на SANS GIAC (GCIH)
  • SANS GIAC Windows Security Administrator (GCWN)
  • Глобален център за сертифициране на обществената безопасност (CHPP и CHPA ниво I-IV)

От тези пълномощия общите позиции като CISA, CISSP, CHPP / CHPA и двете сертификати на SANS GIAC (GCIH и GCWN) предоставят различни нива на покритие на основните принципи, които управляват DLP и най-добрите практики за неговото прилагане и използване в контекста на добре дефинирана политика за сигурност. От тях CISSP и CISA са най-модерните и взискателни certs. От друга страна, идентификационните данни на Cisco и Juniper се концентрират повече върху детайлите на конкретни платформи и системи от тези доставчици, създадени да доставят работещи UTM решения.

Популярни по теми