Множество приложений в корпоративной сети способны избегать обнаружения. Среди распространенных методов — повторное использование других портов, эмуляция приложений и туннелирование SSL. Способные уклоняться от средств защиты приложения не остались без внимания злоумышленников. Последние все чаще используют их для доставки эксплойтов и вирусов в обход сетевого экрана. При контроле трафика с помощью Content-ID применяется ряд механизмов: единый формат сигнатур, потоковое сканирование и исчерпывающая база данных URL-адресов. Гибкий подход позволяет обнаруживать и блокировать широкий спектр угроз, контролировать несвязанный с работой веб-серфинг и ограничивать несанкционированную передачу информации.
Функции:
Механизмы мониторинга App-ID в сочетании с Content-ID позволяют ИТ-отделу улучшить контроль приложений и контента в корпоративной сети.
Content-ID объединяет различные механизмы для защиты от эксплойтов, уязвимостей, вредоносного ПО и command and control (С&C) трафика. Как и во всех продуктах Palo Alto Networks, предотвращение угроз применяется по отношению ко всем портам, несмотря на попытки уклонения. Для обеспечения безопасности используются три технологии.
Система предотвращения вторжений (IPS). IPS предотвращает эксплуатацию уязвимостей, DoS-атаки, переполнение буфера и сканирование портов. Дополнительные возможности, такие как блокировка пакетов, дефрагментация IP и TCP, защищают сеть от методов уклонения, используемых злоумышленниками.
Потоковое сканирование с помощью антивируса. Palo Alto Networks поддерживает базу данных с более чем 15-ю миллионами образцами угроз. Каждый день мы анализируем еще 50 000 образцов. Угроза обнаруживается движком, основанным на потоковом сканировании. Защита он них доступна по разным протоколам, включая HTTP, SMTP, IMAP, POP3, FTP и SMB.
Антишпион. Помимо контроля над вирусами и вредоносными программами Content-ID останавливает шпионское ПО:
Антишпион также проводит мониторинг DNS-запросов, чтобы идентифицировать уникальные версии ботнетов. Механизм выявляет зараженных пользователей и предотвращает утечку информации из предприятия.
База фильтрации URL-адресов позволяет легко и эффективно применять политики безопасности для просмотра сайтов. Инструмент дополняет основанные на политиках обнаружение и контроль, которые предоставляют наши сетевые экраны.
Функции фильтрации в Content-ID позволяют создавать политики, которые уменьшают риски, связанные с несанкционированной передачей информации.
Предприятия продолжают использовать веб и сетевые приложения, которые повышают эффективность работы. В таких условиях большое значение имеет осведомленность о действиях пользователей в сети.
Межсетевые экраны, работающие на основе портов, в значительной степени полагаются на IP-адреса в качестве средств идентификации и контроля активности пользователей. Однако такой контроль стал неэффективен. Традиционные механизмы больше не справляются. Причины тому —применение динамических IP-адресов, а также удаленный доступ для сотрудников и гостей.
User-ID — это стандартная функция нашей корпоративной платформы безопасности, которая интегрируется с рядом служб каталогов и терминалов. User-ID позволяет компаниям расширить набор инструментов. Вы получаете представление о шаблонах использования, независимо от типа устройства. Кроме того, вы получаете возможность устанавливать политики безопасности, получать отчеты и проводить расследования инцидентов, основываясь на пользователях и группах, а не только на IP-адресах. Сочетание App-ID и Content-ID позволяет специалистам полагаться на три основы безопасности — приложения, пользователей и контент. Такой подход укрепляет общее состояние безопасности.
Предприятия становятся все более мобильными, следом появляются проблемы мониторинга. Сотрудники могут получить доступ к сети практически из любой точки мира, при этом пользователи не всегда являются сотрудниками компании. В результате IP-адрес стал ненадёжным механизмом для мониторинга и контроля активности пользователей.
User-ID предоставляют вам улучшенный контроль с помощью политик, а также детальные возможности для логирования данных, генерирования отчетов и анализа.
Идентификационные данные пользователя, в отличие от IP-адреса, является неотъемлемым компонентом инфраструктуры. Зная, какие приложения запущены в сети и кто передает файлы, вы можете усиливать политики безопасности и сокращать время реагирования на инциденты. User-ID позволяет использовать пользовательскую информацию для следующих целей:
User-ID объединяет функциональность межсетевого экрана следующего поколения с широким спектром служб каталогов и терминалов. В зависимости от требований вашей сети, можно настроить несколько методов для сопоставления идентификатора пользователя с IP-адресом. Методы сопоставления пользователей включают:
После того, как приложение и пользователь будут идентифицированы, вы получите полный контроль Application Command Center (ACC) и совершенные механизмы для редактирования политик, логирование и генерирования отчетов.
User-ID может быть настроен для мониторинга случаев аутентификации для Microsoft Active Directory, Microsoft Exchange и Novell eDirectory. Мониторинг случаев аутентификации в сети позволяет решению User-ID связывать пользователя с IP-адресом устройства, с которого он входит в систему, и тем самым обеспечивать соблюдение политики безопасности.
Метод позволяет настроить аутентификацию вызов-ответ для сбора информации о пользователе и его IP-адресе.
Метод позволяет настроить User-ID, чтобы производить мониторинг клиентов или хостов Windows для сбора данных о пользователе и сопоставления их с IP-адресом. В средах, где личность пользователя скрывается с помощью Citrix XenApp или служб терминалов Microsoft, агент User-ID может определить, к каким приложениям обращаются пользователи.
User-ID Terminal Services Agent позволяет определить, к каким приложениям обращаются пользователи в средах, если идентификационные данные скрываются с помощью агента Citrix XenApp или служб терминалов Microsoft. Каждому сеансу пользователя назначается определенный диапазон портов на сервере. Это позволяет файрволу связывать сетевые подключения с пользователями и группами, совместно использующими один хост в сети.
Для того, чтобы отделы безопасности могли задавать политики безопасности на основе групп пользователей и автоматически принимать решение по каждому члену группы, User-ID интегрируется практически с каждой службой каталогов. После настройки сетевой экран получает и обновляет информацию о пользователях и группах и автоматически приспосабливается к изменениям в базе.
В некоторых случаях у вас может быть установлено приложение для хранения информации о пользователях и их текущих IP-адресах. Если это так, межсетевой экран будет принимать сигнал от этой службы, а агент User-ID будет узнавать о случаях аутентификации из журналов. Заданные фильтры позволяют User-ID анализировать сообщения и получать IP-адреса и имена пользователей, которые прошли аутентификацию во внешней службе. В настоящее время решение поддерживает BlueCoat Proxy, Citrix Access Gateway, Aerohive, Cisco ASA, Juniper SA Net Connect и контроллер Juniper Infranet.
Сила User-ID становится очевидной, когда App-ID обнаруживает в вашей сети неизвестное приложение. Используя ACC или просмотр журнала логов, ваш отдел безопасности может определить тип приложения, его пропускную способность, источник и назначение трафика приложения, а также любые связанные с ним угрозы.
Обзор активности приложений на уровне пользователя, а не только на уровне IP-адреса, позволяет более эффективно контролировать пересекающие сеть приложения. Вы можете согласовать использование приложений с требованиями других отделов. Если необходимо, вы сообщите пользователю, что он нарушает корпоративную политику, или напрямую заблокируете использование приложения.
Политики могут использоваться для безопасного допуска приложений на основе пользователей в исходящем или входящем направлении. Примеры пользовательских политик:
Решение позволяет получать предварительно подготовленные отчеты или создавать настраиваемые отчеты, параметры которых вы задаете по своему усмотрению. Настраиваемые отчеты могут быть быстро созданы с нуля или путем изменения предварительно подготовленного отчета. Любой из отчетов, предварительно подготовленный или настраиваемый, может быть экспортирован в CSV или PDF, а также быт доставлен по расписанию по электронной почте заинтересованному менеджеру или в отдел по работе с персоналом.
В основе работы любого сетевого экрана лежит классификация трафика. Именно на ее базе строятся политики безопасности. Традиционные сетевые экраны производят классификацию трафика по порту и протоколу. Если какое-то время назад для защиты периметра было достаточно такого механизма, то теперь ситуация изменилась.
Применение сетевого экрана, который контролирует трафик на основе портов, грозит тем, что приложения будут использовать для обхода:
Проще говоря, недостатки классификации трафика на основе портов делают межсетевые экраны неспособными защитить корпоративную сеть от современных угроз. Вот почему компания Palo Alto разработала запатентованную систему классификации трафика App-ID™. Решение применяет несколько механизмов классификации сетевого трафика для мгновенной и точной идентификации приложений. Система доступна только в сетевых экранах Palo Alto Networks.
App-ID использует до четырех методов идентификации для точного опознания приложений, проходящих через сеть компании, независимо от порта, протокола, тактики уклонения или шифрования SSL.
Идентификация приложения — первая задача, которую выполняет App-ID. В результате пользователь получает разнообразные сведения о приложении и инструменты для обеспечения безопасности.
App-ID — основной элемент платформы для обеспечения безопасности предприятий. Решение дает пользователю возможность отслеживать и контролировать приложения, которые могут избежать обнаружения другими сетевым экранами. App-ID отслеживает приложения, которые маскируются под легитимный трафик, применяют технику Port Hopping или проникают через сетевой экран с помощью шифрования (SSL и SSH).
До появления App-ID у компаний было два способа обойтись с неприемлемыми или несвязанными с работой приложениями в корпоративной сети. Можно было все заблокировать в интересах безопасности данных либо разрешить все в интересах бизнеса. Выбор между двумя крайними вариантами не предполагал компромиссного решения.
App-ID позволяет вам отслеживать приложения в сети компании и изучать их работу, поведенческие характеристики и относительный риск. Использование системы в сочетании с User-ID позволяет точно определять личность пользователя, а не только IP-адрес. Вооружившись этими данными, отдел информационной безопасности сможет создавать политики безопасности, которые будут допускать использование только приемлемых для бизнеса приложений.
Инспекция состояния, на которой базируется большинство современных сетевых экранов, была создана в те времена, когда приложения можно было контролировать на основе портов и IP-адресов источника и назначения. Строгое соблюдение классификации и контроля на основе портов — основной элемент политики. Оно жестко прописано в коде и не может быть отключено. Это означает, что сетевой экран не может идентифицировать, а тем более контролировать, многие современные приложения.
В компании Palo Alto Networks прекрасно понимали, что приложения эволюционировали и могут легко проскальзывать через защиту. Поэтому разработали App-ID — инновационный метод классификации трафика для сетевого экрана, который не полагается на отдельные элементы, такие как порт или протокол. Вместо этого App-ID использует несколько механизмов, чтобы сначала распознать приложение и его идентификатор, который затем станет основой политики безопасности.
App-ID был создан с возможностью совершенствовать методы защиты. По мере того, как приложения будут продолжать развиваться, в App-ID можно добавлять новые механизмы обнаружения и контроля.
А теперь поговорим об алгоритме, с помощью которого App-ID идентифицирует приложения, пересекающие корпоративную сеть.
После того, как приложение идентифицируется с помощью последовательных механизмов App-ID, политика безопасности определяет, как поступить с приложением и его функциями. Система может блокировать его или разрешить, провести проверку на наличие угроз или удостовериться, не производит ли приложение несанкционированную передачу файлов.
Классификация с помощью App-ID — это первый механизм, который наши сетевые экраны применяют для трафика. Вам не нужно включать сигнатуры для поиска приложения, которое, по вашему мнению, может быть в корпоративной сети. App-ID никогда не прекращает классифицировать трафик, проходящий через каждый порт.
Все службы App-ID постоянно просматривают трафик. Под контролем находятся:
App-ID постоянно контролирует состояние приложения и предоставляет обновленную информацию администратору, применяет соответствующую политику и логгирует информацию. Сетевой экран Palo Alto Networks запрещает весь трафик по умолчанию, а затем разрешает только те приложения, которые соответствуют политикам — все остальное блокируется.
Для идентификации приложения App-ID использует четыре метода. Процесс запускается сразу после обнаружения трафика сетевым экраном. Приложение будет определено, независимо от порта, протокола, шифрования (SSL и SSH) или другой тактики уклонения. Количество и порядок механизмов идентификации приложения может различаться. Однако стандартный подход App-ID выглядит следующим образом:
С помощью App-ID в качестве базового элемента платформы безопасности для предприятий, ваш ИБ-отдел сможет усилить контроль над проходящими через сеть приложениями.
Во время еженедельных обновлений в базу данных App-ID добавляется в среднем пять новых приложений. Однако практически в каждой сети можно столкнуться со случаями, когда обнаруживается трафик неизвестных приложений. Обычно существует три сценария, в которых возникает неизвестный трафик: неизвестное программное обеспечение, приложение, сделанное под заказ, или вредоносное ПО.
Важно то, что сетевой экран Palo Alto использует модель принудительной блокировки. Это означает, что весь трафик будет отклонен, за исключением тех приложений, которые разрешает политика безопасности. Благодаря этому неизвестный трафик будет заблокирован или проконтролирован. Получат же разрешение только необходимо для ведения бизнеса программы.
Когда пользователь создает онлайн-конференцию на платформе WebEx, для начального соединения применяется протокол SSL. Этот факт обнаруживает App-ID, после чего дешифратор и декодеры протоколов производят дешифрование SSL и определяют, что это HTTP-трафик. После того, как декодер получает HTTP-поток, App-ID может применить сигнатуры и установить, что используемым приложением является WebEx. WebEx начинает отображаться в Центре управления приложениями и контролируется с помощью политики безопасности.
Если конечный пользователь применяет функцию совместного доступа к WebEx, платформа претерпевает «смену режима». Теперь сеанс будет рассматриваться не как приложение конференцсвязи, а как приложение удаленного доступа. В таком случае характеристики WebEx меняются. App-ID обнаружит функцию WebEx Desktop Sharing, которая затем отобразиться в Центре управления приложениями. На этом этапе вы узнаете больше о приложении, ведь App-ID позволит вам контролировать функцию WebEx Desktop Sharing отдельно от общего использования WebEx.
Идентификация приложения — первый шаг в изучении проходящего через вашу сеть трафика. Для того, чтобы принять более обоснованное решение, система анализирует активность приложения, используемые порты, лежащую в основе ПО технологию и поведенческие характеристики.
Как только будет получена полная картина использования, вы можете применять политики с рядом мер, большинство из которых более тонкие, чем просто разрешение или запрет. Примеры политик:
С помощью App-ID в качестве базового элемента сетевых экранов вы можете усилить контроль над приложениями в корпоративной сети.
Под безопасным допуском приложений часто имеется ввиду достижение соответствующего баланса между заблокированными и разрешенными функциями. Пользователь может:
Во многих случаях вы можете контролировать большие группы приложений сразу, а не управлять ими по отдельности. За такой тип контроля отвечают два механизма: динамические фильтры и группы приложений.
Динамические фильтры представляют собой набор приложений, созданных на основе комбинации критериев фильтра: категорий, подкатегорий, поведенческих характеристик и фактора риска. После работы фильтра применяется политика, которая блокирует или разрешает, а после сканирует трафик. Когда в еженедельных обновлениях добавляются новые идентификаторы приложений, фильтр автоматически обновляется. Автоматическое обновление фильтра сводит к минимуму административные усилия, связанные с управлением политиками безопасности. Полный список параметров фильтра показан ниже.
Группы приложений представляют собой статический список, к которому открывается доступ для определенных пользователей и блокируется для других. Примером может послужить приложение для удаленного управления, такое как RDP. Такие программы используются персоналом службы поддержки и ИТ-отдела. Однако сотрудники, которые не входят в эти отделы, также используют их в качестве средства доступа к своим домашним сетям. Вы можете ограничить нецелевое использование таких платформ с помощью созданной группы для ИТ-отдела.
Список идентификаторов приложений расширяется еженедельно с добавлением 3-5 новых образцов. Информация поступает от клиентов, партнеров, а также с появлением новых приложений на рынке. Если вы обнаружите неопознанные приложения в своей сети, вы можете зарегистрировать трафик и затем отправить информацию для проработки App-ID. После анализа и тестирования приложение будет добавлено в список как часть еженедельных обновлений.