Anonim
Gorodenkoff / Shutterstock

Potenciální útoky, zranitelnost softwaru a platformy, malware a nesprávná konfigurace mohou představovat vážné hrozby pro organizace usilující o ochranu soukromých, důvěrných nebo vlastnických dat. Naštěstí různé technologie - souhrnně známé jako sjednocené řízení hrozeb (UTM) - usnadňují používání virtualizovaných nástrojů nebo nástrojů založených na zařízení, aby zajistily důkladné a komplexní zabezpečení.

V kombinaci s pravidelnými aktualizacemi, monitorovacími a správními službami a klíčovými výzkumnými a zpravodajskými daty mohou organizace postavit obranu pomocí UTM a zdravé bezpečnostní politiky, aby se vypořádaly s touto řadou hrozeb.

Co jde do jednotného řízení hrozeb?

Historie informační bezpečnosti a paliativních technologií sahá až do 80. let, kdy byly k dispozici prvky obvodové bezpečnosti (prostřednictvím firewallů a skrínovacích směrovačů) a ochrany před malwarem (především ve formě časných antivirových technologií). Postupem času, jak se hrozby vyvinuly v sofistikovanosti a schopnosti, byly k dispozici další prvky určené k zabezpečení obchodních nebo organizačních sítí a systémů, které by těmto věcem čelily. Patří sem e-mailové kontroly, prověřování souborů, ochrana před phishingem a seznamy povolených a zakázané pro IP adresy a adresy URL.

Od poloviny 90. let do první dekády 21. století došlo k neuvěřitelné proliferaci bodových řešení pro boj proti konkrétním typům hrozeb, jako je malware, útoky založené na IP, útoky distribuovaného odmítnutí služby (DDoS) a nepoctivý útok webové stránky s možností stažení z disku. To vedlo k útoku softwarových řešení a hardwarových zařízení navržených tak, aby čelily jednotlivým třídám hrozeb. Soubor bezpečnostních systémů s jedním zaměřením bohužel nemůže pomoci, ale postrádá důslednou a koherentní koordinaci.

Bohužel, toto neposkytuje žádnou schopnost detekovat a zmírňovat hybridní útoky, které by mohly začínat nepoctivým URL vloženým do tweetu nebo e-mailové zprávy, pokračovat se stahováním z jednotky, když je tato URL přístupná, a opravdu se rozběhne, když tajně nainstalovaný keylogger spojuje se s časovaným přenosem zachycených dat z backdoor uploaderu. A co je horší, mnoho z těchto aplikací je založeno na webu a používají standardní adresy HTTP portů, takže pro detekci a následky nežádoucích vlivů v práci je nutné provádět vyšší obsah a aktivitu.

Jednoduše řečeno, základním předpokladem UTM je vytvářet výkonné, přizpůsobené počítačové architektury zpracování, které zvládnou, zkontrolují a (v případě potřeby) zablokují velká množství síťového provozu při rychlosti drátu nebo v jeho blízkosti. Stejná data, která musí být vyhledána na černé listině IP adresách nebo adresách URL, musí být zkontrolována na přítomnost malwaru, musí být chráněna proti úniku dat a musí být zkontrolována, aby bylo zajištěno, že protokoly, aplikace a zahrnutá data jsou povolená i neškodná. To je důvod, proč typická řešení UTM obvykle sdružují velké množství funkcí, včetně těchto:

  • Proxy služby blokují odhalení podrobností o interních IP adresách v sítích a zkoumají komunikaci a přenosy dat na aplikační úrovni.
  • Státní kontrola paketů rozlišuje legitimní síťovou komunikaci od podezřelých nebo známých škodlivých forem komunikace.
  • Hluboká kontrola paketů umožňuje kontrolu datové části nebo užitečného zatížení síťových paketů. Toto zařízení chrání nejen před malwarem, ale také umožňuje kontrolu dat blokovat únik utajovaných, soukromých nebo důvěrných dat přes hranice sítě. Tento druh technologie se nazývá prevence ztráty dat (DLP). Technologie DPI také podporuje všechny druhy filtrování obsahu.
  • Dešifrování paketů v reálném čase využívá speciální hardware (který v zásadě reprodukuje softwarové programy ve formě vysokorychlostních obvodů pro provádění komplexní analýzy dat), aby umožnil hloubkovou kontrolu při rychlostech síťového drátu nebo v jeho blízkosti. To organizacím umožňuje aplikovat ovládací prvky na úrovni obsahu i na šifrovaná data a kontrolovat taková data z hlediska dodržování zásad, filtrování malwaru a dalších.
  • Zpracování e-mailu zahrnuje detekci a odstranění škodlivého softwaru, filtrování spamu a kontrolu obsahu phishingu, škodlivých webů a IP adres a URL na černé listině.
  • Detekce a blokování narušení sleduje příchozí přenosové vzorce, které detekují útoky DDoS a reagují na ně, stejně jako další nuanční a škodlivé pokusy narušit zabezpečení sítě a systému nebo získat neoprávněný přístup k systémům a datům.
  • Řízení aplikací (nebo filtrování) sleduje používané aplikace - zejména webové aplikace a služby - a aplikuje bezpečnostní politiku, aby zablokoval nebo vyhladil nechtěné nebo neautorizované aplikace spotřebou síťových prostředků nebo provedením neoprávněného přístupu k (nebo přenosu) dat.
  • Virtuální privátní síť (VPN) nebo zařízení pro vzdálený přístup umožňují vzdáleným uživatelům navázat bezpečné soukromé připojení prostřednictvím veřejných síťových připojení (včetně internetu). Většina organizací tyto technologie používá k ochraně síťového provozu před snoopingem, zatímco je na cestě z odesílatele k příjemci.

Moderní zařízení UTM zahrnují všechny tyto funkce a další kombinováním rychlých a výkonných speciálních síťových obvodů s univerzálními výpočetními prostředky. Vlastní obvody, které vystavují síťový provoz podrobným a pečlivým analýzám a inteligentnímu zacházení, nezpomalují benigní pakety v tranzitu. Může však odstranit podezřelé nebo pochybné pakety z probíhajících provozních toků a obrátit je na programy a filtry. Tyto agentury zase mohou provádět složitou nebo sofistikovanou analýzu, aby rozpoznaly a zmírnily útoky, odfiltrovaly nežádoucí nebo škodlivý obsah, zabránily úniku dat a zajistily, aby se bezpečnostní zásady vztahovaly na veškerý síťový provoz.

Jednotní poskytovatelé správy hrozeb

Zařízení UTM mají obvykle podobu speciálních síťových zařízení, která sedí na hranici sítě, rozkročují spojení, která propojují interní sítě s externími sítěmi prostřednictvím vysokorychlostního spojení s poskytovateli služeb nebo komunikačními společnostmi.

Zařízení UTM záměrně koordinují všechny aspekty bezpečnostní politiky, takže aplikují konzistentní a koherentní sadu kontrol a vyvážení na příchozí a odchozí síťový provoz. Většina výrobců zařízení UTM staví svá zařízení pro práci s centralizovanými webovými konzolami pro správu. To umožňuje společnostem spravujícím síť instalovat, konfigurovat a udržovat zařízení UTM pro své klienty. Alternativně mohou tuto funkci převzít centralizovaná oddělení IT. Takový přístup zajišťuje, že stejné kontroly, filtry, kontroly a prosazování zásad platí pro všechna zařízení UTM stejně, a vyhýbá se mezerám, které mohou integrovat více různorodých bodových řešení (diskrétní brány firewall, e-mailové přístroje, filtry obsahu, antivirové kontroly atd.).

Výběr nejlepších poskytovatelů UTM

Gartner vykázal v roce 2017 tržby na trhu UTM ve výši 2, 18 miliard USD. Očekává, že tento trh bude v dohledné budoucnosti i nadále růst společně s celkovými investicemi do IT (pro většinu ekonomik platí sazby v rozmezí 2-5%, ale pro přední ekonomiky jsou vyšší) jako země BRIC).

Důvěryhodní kupující hledají funkce, jako jsou funkce popsané v předchozí části (sofistikované brány firewall s hloubkovou kontrolou paketů, detekce a prevence narušení, řízení aplikací, VPN, filtrování obsahu, ochrana proti ztrátě / úniku dat, ochrana před malwarem atd.). V dnešní době kupující také hledají tyto funkce:

  • Podpora sofistikovaných virtualizačních technologií (pro virtuální klienty a servery, stejně jako virtualizované implementace samotných zařízení UTM)
  • Ovládací prvky koncového bodu, které vynucují zásady zabezpečení společnosti na vzdálených zařízeních a jejich uživatelích
  • Integrované bezdrátové řadiče pro konsolidaci drátového a bezdrátového provozu na stejném zařízení, zjednodušení implementace a vymáhání bezpečnostních zásad a snížení složitosti sítě

A konečně, pokročilá zařízení UTM musí také podporovat flexibilní architektury, jejichž firmware lze snadno upgradovat tak, aby obsahoval nové způsoby filtrování a detekce a reagoval na neustále se měnící hrozící prostředí. Tvůrci UTM obecně pracují s velkými, probíhajícími bezpečnostními týmy, které co nejrychleji monitorují, katalogizují a reagují na vznikající hrozby a poskytují varování a pokyny klientským organizacím, aby se zabránilo zbytečnému vystavení rizikům a hrozbám.

Některá z nejznámějších jmen v počítačovém průmyslu nabízejí svým zákazníkům řešení UTM, ale ne všechny nabídky jsou stejné. Hledejte řešení od společností jako Cisco, Netgear, SonicWall a Juniper. Určitě najdete nabídky, které poskytují správnou kombinaci funkcí a ovládacích prvků, spolu s charakteristikami velikosti, rychlosti a nákladů navrženými tak, aby vyhovovaly vašim bezpečnostním potřebám, aniž by došlo k porušení vašeho rozpočtu.

Certifikace IT infosec, které se týkají UTM

Jako návštěva pravidelného průzkumu certifikátů informační bezpečnosti na webu SearchSecurity je v této široké oblasti v současné době k dispozici více než 100 aktivních a průběžných údajů. Ne všichni však adresují UTM přímo nebo explicitně. Přestože neexistuje žádné pověření, které by se zaměřovalo výhradně na tento aspekt informační bezpečnosti, následující známé certifikace zahrnují pokrytí tohoto předmětu v jejich cílech zkoušek nebo související společný soubor znalostí, které musí uchazeči ovládat:

  • Auditor certifikovaných informačních systémů ISACA (CISA)
  • Certifikace zabezpečení Cisco: CCNA Security, CCNP Security, CCIE Security
  • Certifikáty Juniper Security: JNCIS-SEC, JNCIP-SEC, JNCIE-SEC, JNCIA-SEC
  • (ISC) 2 Certified Information Systems Security Professional (CISSP)
  • SANS GIAC Certified Incident Handler (GCIH)
  • SANS GIAC Správce zabezpečení systému Windows (GCWN)
  • Globální centrum pro certifikace veřejné bezpečnosti (úrovně CHPP a CHPA I-IV)

Z těchto údajů, všeobecné položky, jako CISA, CISSP, CHPP / CHPA a dvě certifikace SANS GIAC (GCIH a GCWN), poskytují různé úrovně pokrytí základních principů, kterými se řídí DLP, a osvědčených postupů pro jeho použití a použití v kontextu dobře definované bezpečnostní politiky. Z nich jsou CISSP a CISA nejpokročilejší a nejnáročnější certs. Na druhé straně se pověření Cisco a Juniper soustředí více na podrobnosti konkrétních platforem a systémů od těch dodavatelů, kteří jsou navrženi tak, aby dodávali funkční řešení UTM.