PaloAlto Networks

www.paloaltonetworks.com
вернутся назад

Технологии Palo Alto Networks

Palo Alto Networks дает возможности контроля трафика приложений, действий конкретных пользователей и передаваемого контента (а не абстрактных портов, IP-адресов и пакетов) за счет использования трех уникальных фундаментальных технологий App-ID, User-ID и Content-ID, а также дополнительных возможностей.


CONTENT-ID

Высокопроизводительная защита от угроз

Множество приложений в корпоративной сети способны избегать обнаружения. Среди распространенных методов — повторное использование других портов, эмуляция приложений и туннелирование SSL. Способные уклоняться от средств защиты приложения не остались без внимания злоумышленников. Последние все чаще используют их для доставки эксплойтов и вирусов в обход сетевого экрана. При контроле трафика с помощью Content-ID применяется ряд механизмов: единый формат сигнатур, потоковое сканирование и исчерпывающая база данных URL-адресов. Гибкий подход позволяет обнаруживать и блокировать широкий спектр угроз, контролировать несвязанный с работой веб-серфинг и ограничивать несанкционированную передачу информации.


Функции:

  • ограничение несанкционированной передачи информации;
  • обнаружение и блокирование эксплойтов и вредоносных программ;
  • контроль несанкционированного веб-серфинга.

Механизмы мониторинга App-ID в сочетании с Content-ID позволяют ИТ-отделу улучшить контроль приложений и контента в корпоративной сети.

content-id.jpg

Интегрированные IPS и антивирус

Content-ID объединяет различные механизмы для защиты от эксплойтов, уязвимостей, вредоносного ПО и command and control (С&C) трафика. Как и во всех продуктах Palo Alto Networks, предотвращение угроз применяется по отношению ко всем портам, несмотря на попытки уклонения. Для обеспечения безопасности используются три технологии.

Система предотвращения вторжений (IPS). IPS предотвращает эксплуатацию уязвимостей, DoS-атаки, переполнение буфера и сканирование портов. Дополнительные возможности, такие как блокировка пакетов, дефрагментация IP и TCP, защищают сеть от методов уклонения, используемых злоумышленниками.

Потоковое сканирование с помощью антивируса. Palo Alto Networks поддерживает базу данных с более чем 15-ю миллионами образцами угроз. Каждый день мы анализируем еще 50 000 образцов. Угроза обнаруживается движком, основанным на потоковом сканировании. Защита он них доступна по разным протоколам, включая HTTP, SMTP, IMAP, POP3, FTP и SMB.

Антишпион. Помимо контроля над вирусами и вредоносными программами Content-ID останавливает шпионское ПО:

  • ботнеты;
  • атаки через браузеры;
  • рекламное программное обеспечение;
  • бэкдоры;
  • кейлогеры;
  • кражи данных;
  • сетевые черви;
  • одноранговый трафик.

Антишпион также проводит мониторинг DNS-запросов, чтобы идентифицировать уникальные версии ботнетов. Механизм выявляет зараженных пользователей и предотвращает утечку информации из предприятия.

Фильтрация URL-адресов

База фильтрации URL-адресов позволяет легко и эффективно применять политики безопасности для просмотра сайтов. Инструмент дополняет основанные на политиках обнаружение и контроль, которые предоставляют наши сетевые экраны.

  • Обеспечивайте безопасность в интернете с помощью политик, которые также применяются к вредоносным программам, например: «разрешить», «разрешить и сканировать», «применить QoS» и многие другие.
  • Сокращайте количество инцидентов безопасности, блокируя доступ к известным вредоносным и фишинговым сайтам.
  • Создавайте собственные интернет-фильтры, составляя белые и черные списки сайтов.
  • Подгоняйте под нужды компании политики дешифрования SSL. Например, «не расшифровывать трафик с сайтов финансовых услуг», а «расшифровывать на информационных ресурсов».

Фильтрация файлов и данных

Функции фильтрации в Content-ID позволяют создавать политики, которые уменьшают риски, связанные с несанкционированной передачей информации.

  • Блокировка файлов по типу позволяет управлять потоком широкого диапазона типов файлов. Для идентификации типа система исследует полезную нагрузку, а не расширение.
  • Фильтрация данных помогает контролировать передачу конфиденциальной информации, такой как номера кредитных карт во вложениях или контенте приложений.
  • Управление функцией передачи файлов дает возможность предотвращать нежелательные входящие или исходящие передачи.

USER-ID

Привяжите пользователей к политике безопасности 

Предприятия продолжают использовать веб и сетевые приложения, которые повышают эффективность работы. В таких условиях большое значение имеет осведомленность о действиях пользователей в сети. 

Межсетевые экраны, работающие на основе портов, в значительной степени полагаются на IP-адреса в качестве средств идентификации и контроля активности пользователей. Однако такой контроль стал неэффективен. Традиционные механизмы больше не справляются. Причины тому —применение динамических IP-адресов, а также удаленный доступ для сотрудников и гостей.

user_id.jpg

User-ID — это стандартная функция нашей корпоративной платформы безопасности, которая интегрируется с рядом служб каталогов и терминалов. User-ID позволяет компаниям расширить набор инструментов. Вы получаете представление о шаблонах использования, независимо от типа устройства. Кроме того, вы получаете возможность устанавливать политики безопасности, получать отчеты и проводить расследования инцидентов, основываясь на пользователях и группах, а не только на IP-адресах. Сочетание App-ID и Content-ID позволяет специалистам полагаться на три основы безопасности  — приложения, пользователей и контент. Такой подход укрепляет общее состояние безопасности.

Предприятия становятся все более мобильными, следом появляются проблемы мониторинга. Сотрудники могут получить доступ к сети практически из любой точки мира, при этом пользователи не всегда являются сотрудниками компании. В результате IP-адрес стал ненадёжным механизмом для мониторинга и контроля активности пользователей.

User-ID предоставляют вам улучшенный контроль с помощью политик, а также детальные возможности для логирования данных, генерирования отчетов и анализа.

user-id2.png

Интеграция пользовательской информации в инфраструктуру безопасности

Идентификационные данные пользователя, в отличие от IP-адреса, является неотъемлемым компонентом инфраструктуры. Зная, какие приложения запущены в сети и кто передает файлы, вы можете усиливать политики безопасности и сокращать время реагирования на инциденты. User-ID позволяет использовать пользовательскую информацию для следующих целей:

  • Мониторинг. Усовершенствованный мониторинг использования приложений на основе информации о пользователях и группах поможет получить точную картину сетевой активности.
  • Контроль на основе политик. Привязка пользовательской информации к политике для безопасного использования приложений или их определенных функций. Благодаря такому подходу сокращаются административные усилия.
  • Логирование, отчетность и анализ. Своевременный анализ и получение отчетности с информацией о пользователе помогают составить полную картину инцидента.

Как работает User-ID

User-ID объединяет функциональность межсетевого экрана следующего поколения с широким спектром служб каталогов и терминалов. В зависимости от требований вашей сети, можно настроить несколько методов для сопоставления идентификатора пользователя с IP-адресом. Методы сопоставления пользователей включают:

  • мониторинг случаев
  • аутентификации;
  • аутентификацию
  • пользователя с помощью сервисов;
  • мониторинг клиентов и хостов Windows;
  • интеграцию служб каталогов;
  • API-интерфейс XML.


После того, как приложение и пользователь будут идентифицированы, вы получите полный контроль Application Command Center (ACC) и совершенные механизмы для редактирования политик, логирование и генерирования отчетов.

Мониторинг случаев аутентификации

User-ID может быть настроен для мониторинга случаев аутентификации для Microsoft Active Directory, Microsoft Exchange и Novell eDirectory. Мониторинг случаев аутентификации в сети позволяет решению User-ID связывать пользователя с IP-адресом устройства, с которого он входит в систему, и тем самым обеспечивать соблюдение политики безопасности.

  • Microsoft Exchange Server. Решение User-ID можно настроить на постоянный мониторинг случаев входа в Microsoft Exchange, которые производят клиенты для получения доступа к электронной почте. Используя эту технику, можно обнаружить и идентифицировать клиентские системы MAC OS X, Apple iOS, Linux / UNIX, которые не проходят прямую аутентификацию в Microsoft Active Directory.
  • Novell eDirectory. User-ID может запрашивать и отслеживать информацию о входе в систему для идентификации пользователей с помощью стандартных запросов LDAP на серверах Novell eDirectory.
  • Microsoft Active Directory. User-ID может идентифицировать пользователя при входе в домен. Когда пользователь входит в домен Windows, новое событие аутентификации записывается на соответствующий контроллер. Благодаря удаленному мониторингу User-ID может распознавать случаи аутентификации, чтобы идентифицировать пользователей в сети.

Аутентификации пользователя с помощью сервисов

Метод позволяет настроить аутентификацию вызов-ответ для сбора информации о пользователе и его IP-адресе.

  • Captive portal. Сервис применяется в тех случаях, когда администраторам необходимо установить правила, в соответствии с которыми пользователи должны проходить аутентификацию в сетевом экране для доступа в интернет. Captive portal позволяет идентифицировать пользователя, если нет возможности использовать другие механизмы. В дополнение к получению имени пользователя и пароля, портал авторизации может быть настроен для отправки запроса сетевой аутентификации NTLM.
  • GlobalProtect. Удаленные пользователи, которые входят в сеть с помощью GlobalProtect, предоставляют сетевому экрану необходимую для контроля информацию.

Мониторинг клиентов и хостов Windows для сбора информации о пользователе

Метод позволяет настроить User-ID, чтобы производить мониторинг клиентов или хостов Windows для сбора данных о пользователе и сопоставления их с IP-адресом. В средах, где личность пользователя скрывается с помощью Citrix XenApp или служб терминалов Microsoft, агент User-ID может определить, к каким приложениям обращаются пользователи.

  • Проверка клиента. Если пользователь не может быть идентифицирован с помощью мониторинга случаев аутентификации, User-ID активно проверяет клиентов Microsoft Windows на предмет информации о вошедшем в систему пользователе. С помощью данного механизма мы можем идентифицировать пользователей ноутбуков, которые переключаются с проводных на беспроводные сети.
  • Проверка хоста. User-ID настраивается для проверки серверов Microsoft Windows на наличие активных сетевых сеансов пользователя. Как только пользователь получает доступ к общему сетевому ресурсу на сервере, User-ID идентифицирует исходный IP-адрес и сопоставляет его с предоставленным для сеанса именем пользователя.

Интеграция служб терминалов

User-ID Terminal Services Agent позволяет определить, к каким приложениям обращаются пользователи в средах, если идентификационные данные скрываются с помощью агента Citrix XenApp или служб терминалов Microsoft. Каждому сеансу пользователя назначается определенный диапазон портов на сервере. Это позволяет файрволу связывать сетевые подключения с пользователями и группами, совместно использующими один хост в сети.

Интеграция служб каталогов

Для того, чтобы отделы безопасности могли задавать политики безопасности на основе групп пользователей и автоматически принимать решение по каждому члену группы, User-ID интегрируется практически с каждой службой каталогов. После настройки сетевой экран получает и обновляет информацию о пользователях и группах и автоматически приспосабливается к изменениям в базе.

Syslog Listener и XML API

В некоторых случаях у вас может быть установлено приложение для хранения информации о пользователях и их текущих IP-адресах. Если это так, межсетевой экран будет принимать сигнал от этой службы, а агент User-ID будет узнавать о случаях аутентификации из журналов. Заданные фильтры позволяют User-ID анализировать сообщения и получать IP-адреса и имена пользователей, которые прошли аутентификацию во внешней службе. В настоящее время решение поддерживает BlueCoat Proxy, Citrix Access Gateway, Aerohive, Cisco ASA, Juniper SA Net Connect и контроллер Juniper Infranet.

  • XML API. В тех случаях, когда Syslog Listener не применяется, XML API User-ID позволяет получить информацию о пользователе из других каталогов, служб терминалов и механизмов аутентификации.

Мониторинг активности приложений пользователей

Сила User-ID становится очевидной, когда App-ID обнаруживает в вашей сети неизвестное приложение. Используя ACC или просмотр журнала логов, ваш отдел безопасности может определить тип приложения, его пропускную способность, источник и назначение трафика приложения, а также любые связанные с ним угрозы.

Обзор активности приложений на уровне пользователя, а не только на уровне IP-адреса, позволяет более эффективно контролировать пересекающие сеть приложения. Вы можете согласовать использование приложений с требованиями других отделов. Если необходимо, вы сообщите пользователю, что он нарушает корпоративную политику, или напрямую заблокируете использование приложения.

Управление политиками на основе пользователей

Политики могут использоваться для безопасного допуска приложений на основе пользователей в исходящем или входящем направлении. Примеры пользовательских политик:

  • разрешить только ИТ-отделу использовать на своих стандартных портах такие инструменты, как SSH, Telnet и FTP;
  • разрешить службе поддержки использовать Yahoo Messenger;
  • разрешить Facebook для всех пользователей, но разрешить только маркетологам создавать публикации и заблокировать использование приложений для всех пользователей.

Основанные на пользователях анализ, отчетность и расследования

Решение позволяет получать предварительно подготовленные отчеты или создавать настраиваемые отчеты, параметры которых вы задаете по своему усмотрению. Настраиваемые отчеты могут быть быстро созданы с нуля или путем изменения предварительно подготовленного отчета. Любой из отчетов, предварительно подготовленный или настраиваемый, может быть экспортирован в CSV или PDF, а также быт доставлен по расписанию по электронной почте заинтересованному менеджеру или в отдел по работе с персоналом.

APP-ID

Классификация и контроль трафика вне зависимости от порта

В основе работы любого сетевого экрана лежит классификация трафика. Именно на ее базе строятся политики безопасности. Традиционные сетевые экраны производят классификацию трафика по порту и протоколу. Если какое-то время назад для защиты периметра было достаточно такого механизма, то теперь ситуация изменилась.

Применение сетевого экрана, который контролирует трафик на основе портов, грозит тем, что приложения будут использовать для обхода:

  • технику Port Hopping
  • криптографические протоколы SSL и SSH
  • порт 80
  • нестандартные порты.

Проще говоря, недостатки классификации трафика на основе портов делают межсетевые экраны неспособными защитить корпоративную сеть от современных угроз. Вот почему компания Palo Alto разработала запатентованную систему классификации трафика App-ID™. Решение применяет несколько механизмов классификации сетевого трафика для мгновенной и точной идентификации приложений. Система доступна только в сетевых экранах Palo Alto Networks.

app-id.png

Как App-ID классифицирует трафик

App-ID использует до четырех методов идентификации для точного опознания приложений, проходящих через сеть компании, независимо от порта, протокола, тактики уклонения или шифрования SSL.

Идентификация приложения — первая задача, которую выполняет App-ID. В результате пользователь получает разнообразные сведения о приложении и инструменты для обеспечения безопасности.

App-ID — основной элемент платформы для обеспечения безопасности предприятий. Решение дает пользователю возможность отслеживать и контролировать приложения, которые могут избежать обнаружения другими сетевым экранами. App-ID отслеживает приложения, которые маскируются под легитимный трафик, применяют технику Port Hopping или проникают через сетевой экран с помощью шифрования (SSL и SSH).

До появления App-ID у компаний было два способа обойтись с неприемлемыми или несвязанными с работой приложениями в корпоративной сети. Можно было все заблокировать в интересах безопасности данных либо разрешить все в интересах бизнеса. Выбор между двумя крайними вариантами не предполагал компромиссного решения.

App-ID позволяет вам отслеживать приложения в сети компании и изучать их работу, поведенческие характеристики и относительный риск. Использование системы в сочетании с User-ID позволяет точно определять личность пользователя, а не только IP-адрес. Вооружившись этими данными, отдел информационной безопасности сможет создавать политики безопасности, которые будут допускать использование только приемлемых для бизнеса приложений.

Классификация трафика, основанная на приложениях, а не портах

Инспекция состояния, на которой базируется большинство современных сетевых экранов, была создана в те времена, когда приложения можно было контролировать на основе портов и IP-адресов источника и назначения. Строгое соблюдение классификации и контроля на основе портов — основной элемент политики. Оно жестко прописано в коде и не может быть отключено. Это означает, что сетевой экран не может идентифицировать, а тем более контролировать, многие современные приложения.

В компании Palo Alto Networks прекрасно понимали, что приложения эволюционировали и могут легко проскальзывать через защиту. Поэтому разработали App-ID — инновационный метод классификации трафика для сетевого экрана, который не полагается на отдельные элементы, такие как порт или протокол. Вместо этого App-ID использует несколько механизмов, чтобы сначала распознать приложение и его идентификатор, который затем станет основой политики безопасности.

App-ID был создан с возможностью совершенствовать методы защиты. По мере того, как приложения будут продолжать развиваться, в App-ID можно добавлять новые механизмы обнаружения и контроля.

А теперь поговорим об алгоритме, с помощью которого App-ID идентифицирует приложения, пересекающие корпоративную сеть.

  • Сначала происходит классификация трафика на основе IP-адреса и порта.
  • Затем к разрешенному трафику применяются сигнатуры для идентификации приложения на основе его уникальных свойств.
  • Если App-ID определяет, что используется шифрование (SSL или SSH), приложение расшифровывается. Но это происходит при условии работающей политики дешифрования. После расшифровки сигнатуры приложений снова применяются к трафику.
  • Декодеры применяют дополнительные сигнатуры на основе контекста, чтобы найти другие приложения, которые используют собственные протоколы.
  • Для приложений, которые используют тактики уклонения и не могут быть идентифицированы с помощью анализа сигнатур и протокола, могут быть применены поведенческий и эвристический методы.

После того, как приложение идентифицируется с помощью последовательных механизмов App-ID, политика безопасности определяет, как поступить с приложением и его функциями. Система может блокировать его или разрешить, провести проверку на наличие угроз или удостовериться, не производит ли приложение несанкционированную передачу файлов.

Классификация — первая задача во всех портах

Классификация с помощью App-ID — это первый механизм, который наши сетевые экраны применяют для трафика. Вам не нужно включать сигнатуры для поиска приложения, которое, по вашему мнению, может быть в корпоративной сети. App-ID никогда не прекращает классифицировать трафик, проходящий через каждый порт.

Все службы App-ID постоянно просматривают трафик. Под контролем находятся:

  • бизнес-приложения;
  • потребительские приложения;
  • сетевые протоколы;
  • все остальное.

App-ID постоянно контролирует состояние приложения и предоставляет обновленную информацию администратору, применяет соответствующую политику и логгирует информацию. Сетевой экран Palo Alto Networks запрещает весь трафик по умолчанию, а затем разрешает только те приложения, которые соответствуют политикам — все остальное блокируется.

Технология идентификации трафика App-ID

Для идентификации приложения App-ID использует четыре метода. Процесс запускается сразу после обнаружения трафика сетевым экраном. Приложение будет определено, независимо от порта, протокола, шифрования (SSL и SSH) или другой тактики уклонения. Количество и порядок механизмов идентификации приложения может различаться. Однако стандартный подход App-ID выглядит следующим образом:

  • Сигнатуры приложений. Сначала сигнатуры применяются для поиска уникальных свойств приложения — это помогает правильно идентифицировать приложение независимо от протокола и порта, которые оно использует. Сигнатуры помогают определить, пользуется ли приложение портом по умолчанию или нестандартным портом. Например, RDP может использовать порт 80 вместо стандартного 3389. Если идентифицированное приложение разрешено политикой безопасности, дальнейший анализ трафика выполняется для изучения функций приложения, его поведения, а также для сканирования угроз.
  • Расшифровка SSL и SSH. Если App-ID определяет, что используется SSL-шифрование, при этом была задана политика дешифрования — трафик расшифровывается. Затем он по мере необходимости обрабатывается с помощью других механизмов идентификации. Если политика не была задана, то дешифрование SSL применяться не будет. После того, как приложение будет идентифицировано и окажется приемлемым с точки зрения политик, произойдет проверка на наличие вредоносных программ. После всех этих этапов трафик доставляется в пункт назначения. Аналогичный подход используется, чтобы определить, используется ли переадресация портов в качестве средства для туннелирования трафика через SSH.
  • Декодирование приложений и протоколов. Декодеры известных протоколов нужны для применения дополнительных сигнатур на основе контекста. Такой способ позволяет отследить приложения, которые применяют туннелирование. Например, Yahoo! Instant Messenger, может использовать протокол HTTP. Декодеры для популярных приложений используются и для идентификации отдельных функций в приложении, например, совместного использование файлов. В дополнение к идентификации приложений декодеры также идентифицируют файлы и другой контент, который следует сканировать на наличие угроз или конфиденциальных данных.
  • Эвристика (эвристический анализатор). В некоторых случаях приложения, использующие тактики уклонения, могут оставаться необнаруженными даже после расширенного анализа сигнатур и протоколов. В таких ситуациях необходимо применять дополнительный эвристический или поведенческий анализ для идентификации приложений, таких как одноранговые файловые службы или приложения VoIP, которые используют проприетарное ПО для шифрования. Эвристический анализ используется по мере необходимости вместе с другими описанными выше методами App-ID. Такой подход позволяет обеспечить высокую степень обнаружение приложений, которые в противном случае могли бы ускользнуть от идентификации.

С помощью App-ID в качестве базового элемента  платформы безопасности для предприятий, ваш ИБ-отдел сможет усилить контроль над проходящими через сеть приложениями.

App-ID: работа с произведенными на заказ и неизвестными приложениями

Во время еженедельных обновлений в базу данных App-ID добавляется в среднем пять новых приложений. Однако практически в каждой сети можно столкнуться со случаями, когда обнаруживается трафик неизвестных приложений. Обычно существует три сценария, в которых возникает неизвестный трафик: неизвестное программное обеспечение, приложение, сделанное под заказ, или вредоносное ПО.

  • Неизвестные приложения. Благодаря механизмам обнаружения, вы можете быстро определить, относится ли трафик к неизвестному программному обеспечению (COTS). Если это неизвестное ПО, вы можете воспользоваться функцией захвата пакетов, зарегистрировать трафик и отправить его на анализ в App-ID. Новое приложение обрабатывается, тестируется и добавляется в базу данных — таким образом информация распространяется среди всех пользователей App-ID в виде еженедельного обновления.
  • Произведенные на заказ приложения. Вы можете определить, является ли приложение сделанным на заказ; используя те же инструменты обнаружения или программу для просмотра журнала логов. Вы можете создать собственный App-идентификатор, используя декодеры протоколов и приложений. После создания собственного индикатора обнаруженное вами приложение будет классифицировано и проверено так же, как и приложение со стандартным идентификатором App-ID. Вы можете сделать его доступным для политик, проверить на наличие угроз или провести шейпинг трафика с помощью QoS. Управление собственными индикаторами происходит в отдельной базе данных, гарантируя, что на них не повлияют еженедельные обновления App-ID.
  • Трафик, несущий угрозу. Если трафик не относится к сделанным на заказ или неизвестным приложениям, то он может угрожать информационной безопасности компании. App-ID быстро определит уровни риска, используя поведенческие отчеты или другие инструменты для анализа.

application-function-control.jpg

Важно то, что  сетевой экран Palo Alto использует модель принудительной блокировки. Это означает, что весь трафик будет отклонен, за исключением тех приложений, которые разрешает политика безопасности. Благодаря этому неизвестный трафик будет заблокирован или проконтролирован. Получат же разрешение только необходимо для ведения бизнеса программы.

Работа App-ID на примере WebEx

Когда пользователь создает онлайн-конференцию на платформе WebEx, для начального соединения применяется протокол SSL. Этот факт обнаруживает App-ID, после чего дешифратор и декодеры протоколов производят дешифрование SSL и определяют, что это HTTP-трафик. После того, как декодер получает HTTP-поток, App-ID может применить сигнатуры и установить, что используемым приложением является WebEx. WebEx начинает отображаться в Центре управления приложениями и контролируется с помощью политики безопасности.

Если конечный пользователь применяет функцию совместного доступа к WebEx, платформа претерпевает «смену режима». Теперь сеанс будет рассматриваться не как приложение конференцсвязи, а как приложение удаленного доступа. В таком случае характеристики WebEx меняются. App-ID обнаружит функцию WebEx Desktop Sharing, которая затем отобразиться в Центре управления приложениями. На этом этапе вы узнаете больше о приложении, ведь App-ID позволит вам контролировать функцию WebEx Desktop Sharing отдельно от общего использования WebEx.

Идентификация приложения: контроль на основе политик

Идентификация приложения — первый шаг в изучении проходящего через вашу сеть трафика. Для того, чтобы принять более обоснованное решение, система анализирует активность приложения, используемые порты, лежащую в основе ПО технологию и поведенческие характеристики.

Как только будет получена полная картина использования, вы можете применять политики с рядом мер, большинство из которых более тонкие, чем просто разрешение или запрет. Примеры политик:

  • разрешить или запретить;
  • разрешить, но сканировать на наличие эксплойтов, вирусов и других угроз;
  • разрешить на основе расписания, пользователей или групп;
  • расшифровывать и проверить;
  • применить шейпинг трафика с помощью QoS;
  • применить Policy-Based Forwarding;
  • разрешить определенные функции приложения;
  • любая комбинация вышеуказанного.

С помощью App-ID в качестве базового элемента сетевых экранов вы можете усилить контроль над приложениями в корпоративной сети.

Управление приложениями на уровне функций

Под безопасным допуском приложений часто имеется ввиду достижение соответствующего баланса между заблокированными и разрешенными функциями. Пользователь может:

  • разрешить Share Point Documents, но заблокировать использование Share Point Administration;
  • блокировать в Facebook доступ к почте, сообщениям, приложениям и созданию постов, но разрешите просматривать страницы;
  • разрешить MSN, но отключить возможность передачи файлов или разрешить передачу только передачу определенных типов файлов, блокируя все остальные.

Управление несколькими приложениями: динамические фильтры и группы

Во многих случаях вы можете контролировать большие группы приложений сразу, а не управлять ими по отдельности. За такой тип контроля отвечают два механизма: динамические фильтры и группы приложений.

Динамические фильтры представляют собой набор приложений, созданных на основе комбинации критериев фильтра: категорий, подкатегорий, поведенческих характеристик и фактора риска. После работы фильтра применяется политика, которая блокирует или разрешает, а после сканирует трафик. Когда в еженедельных обновлениях добавляются новые идентификаторы приложений, фильтр автоматически обновляется. Автоматическое обновление фильтра сводит к минимуму административные усилия, связанные с управлением политиками безопасности. Полный список параметров фильтра показан ниже.

Категории и подкатегории

  • Бизнес: сервисы для аутентификации, база данных, планирование ресурсов предприятия (ERP), ПО для управления компанией, офисные программы, обновления программного обеспечения, системы для хранения данных и резервного копирования.
  • Интернет: совместное использование файлов, интернет-утилиты (браузеры, панели инструментов и т. д.).
  • Взаимодействие: электронная почта, мессенджеры, онлайн-конференции, социальные сети, платформы для бизнеса, IP-телефония, видеосвязь.
  • Медиа: потоковая передача аудио, игры, фото и видео.
  • Сеть: зашифрованное соединение, инфраструктура, прокси, удаленный доступ, маршрутизация.

Поведенческие характеристики приложения

  • Возможность передачи файлов из одной сети в другую
  • Вероятность распространения вредоносного ПО
  • Регулярное потребление 1 Мбит или более при нормальном использовании
  • Уклонение от обнаружения с помощью порта или протокола
  • Широкое развертывание
  • Наличие уязвимостей
  • Склонность к использованию не по назначению

applipedia.jpg

Лежащая в основе технология

  • Клиент-сервер
  • На основе браузера
  • Одноранговая
  • Сетевой протокол

Группы приложений представляют собой статический список, к которому открывается доступ для определенных пользователей и блокируется для других. Примером может послужить приложение для удаленного управления, такое как RDP. Такие программы используются персоналом службы поддержки и ИТ-отдела. Однако сотрудники, которые не входят в эти отделы, также используют их в качестве средства доступа к своим домашним сетям. Вы можете ограничить нецелевое использование таких платформ с помощью созданной группы для ИТ-отдела.

Расширение списка приложений

Список идентификаторов приложений расширяется еженедельно с добавлением 3-5 новых образцов. Информация поступает от клиентов, партнеров, а также с появлением новых приложений на рынке. Если вы обнаружите неопознанные приложения в своей сети, вы можете зарегистрировать трафик и затем отправить информацию для проработки App-ID. После анализа и тестирования приложение будет добавлено в список как часть еженедельных обновлений.

Не нашли решения? Просто обратитесь к нам.