В данной статье мы расскажем об основных принципах построения безопасной ИТ-инфраструктуры компании, и как превентивно бороться с атаками из вне.
Инспектирование всего трафика
Вы не можете противостоять угрозам, которые не видите, поэтому необходимо убедится в том, что вы инспектируете весь трафик, проходящий через межсетевой экран от пользователей и приложений. Этого можно достичь благодаря следующим технологиям:
- Разверните Global Protect инфраструктуру межсетевых экранов Palo Alto NGFW для пользователей и устройств независимо от того, где они находятся.
- Включите дешифрацию SSL трафика для возможности анализировать и проверять зашифрованный трафик (на сегодняшний день более 40% всего трафика является зашифрованным).
- Включите функцию User-ID, которая поможет связать потоки трафика с определёнными пользователями.
- Если политика компании разрешает доступ в сеть со своих устройств (BYOD или корпоративные устройства без Global Protect) сервис несанкционированного доступа к устройствам позволит пользователям подключиться к приложениям компании из любой точки без риска утечки данных. Сервис перенаправляет трафик через межсетевой экран для соблюдения политики безопасности и предотвращения угроз, принятых в компании.
Использование данных технологий позволит межсетевому экрану проверять весь трафик и привязывать его к пользователю независимо от местоположения или типа устройства, порта, шифрования или методов уклонения, используя собственные технологии Palo Alto: App-ID, Content-ID и USER-ID.
Анализ всего трафика сети в компании – это первый и самый важный шаг в построении безопасной ИТ-инфраструктуры.
Снижение поверхности атаки
После того как у вас появилась возможность анализировать трафик приложений и связывать его с конкретными пользователями, создайте правила на основе используемых приложений в компании. Разрешите доступ тем приложениям, которые являются критически важными для бизнеса и необходимыми в работе сотрудников. Все остальное подлежит блокировке, тем самым мы снизим риск произвести атаку на инфраструктуру.
Чтобы еще больше снизить векторы атак на ИТ-инфраструктуру, включите профили блокировки файлов (File Blocking) и фильтрацию сайтов (URL-Filtering) во все правилах, которые используются для выхода в Интернет. Чтобы злоумышленники не выполняли успешные фишинг-атаки (самый дешевый и простой способ проникнуть в вашу сеть), настройте защиту фишинга учетных данных, которая запретит пользователям вводить свои корпоративные учетные данные на веб-сайтах или отправлять свои учетные данные куда-либо кроме внутренней сети компании.
Предотвращение известных угроз
Межсетевые экраны Palo Alto NGFW на ранних этапах могут обнаружить и предотвратить все известные атаки, которые ранее уже были обнаружены в сети Интернет. Решение для предотвращения вторжений поддерживается командой опытных специалистов, которые тесно сотрудничают с Microsoft в рамках программы MAPP. В качестве члена-основателя MAPP Palo Alto Networks получила приоритетный доступ к ежемесячному выпуску обновлений. Благодаря раннему получение информацию об уязвимостях, Palo Alto Networks может создавать сигнатуры и своевременно передавать обновленные данные клиентам, тем самым обеспечивая их защиту. Помимо получения информации об уязвимостях от Microsoft, Palo Alto Networks непрерывно проводит собственные исследования, которые заслужили доверие, благодаря обнаружению многочисленных уязвимостей в ОС и ПО Microsoft. Обновление сигнатур осуществляется раз в неделю, а также в экстренных случаях.Включите дополнительные функции, такие как – переполнение буфера, защита от DOS-атак, сканирования портов и известные варианты вредоносного ПО (включая скрытые в сжатых файлы или в сжатом HTTP / HTTPS-трафике). Чтобы включить проверку зашифрованного трафика, включите дешифрование SSL.База данных угроз и вирусов постоянно обновляется.
Обнаружение неизвестных угроз
Включите отправку всех неизвестных файлов в песочницу WildFire для анализа. WildFire идентифицирует неизвестные программы, файлы и приложения, выполняя их в виртуализированной среде песочницы, в облаке или на устройстве WildFire в корпоративной среде. Если он находит вредоносное ПО, то автоматически разрабатывает подпись для такого типа угроз и доставляет вам ответ о решении всего за пять минут (теперь неизвестная угроза – известная угроза).
Включите технологию Palo Alto TRAPS — системы для расширенной защиты рабочих станций. TRAPS является решением, способным анализировать и блокировать атаки нулевого дня с использованием эксплойтов или вредоносных исполняемых файлов еще до запуска на рабочих станциях, вне зависимости от наличия установленных на клиентском рабочем месте актуальных обновлений ОС, клиентских приложений и антивируса.