Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Технологии и концепции
бр. 7, 2018

Трите принципа на SANS Institute за защита на корпоративните мрежи

Ще направим широк обзор на задачите, ролите и инструментите, използвани за предотвратяване на достъпа на неоторизирани хора или приложения до вашите мрежи и свързаните към тях устройства

от , 24 юли 2018 0 1175 прочитания,

Джошуа Фрюлингер, CSO, САЩ 

Мрежовата сигурност представлява дейностите по предотвратяване и защита срещу неправомерен достъп до корпоративната мрежа. Като философия тя допълва сигурността в крайната точка, която се занимава с индивидуалните устройства, но фокусът й е върху взаимодействието между тях и свързващата ги тъкан.

SANS, един от най-престижните институти в областта на киберзащитата, разгръща определението за мрежова сигурност още повече: „Мрежовата сигурност е процесът на вземане на физически и софтуерни превантивни мерки за защита на мрежовата инфраструктура от непозволен достъп, злоупотреба, повреда, модификация, унищожение или неправомерно разкриване, като по този начин създава сигурна платформа за компютри, потребители и програми, върху която те да изпълняват позволените им важни функции в рамките на защитена среда.“

Общото е едно: мрежовата сигурност се реализира чрез задачи и инструменти, които използвате, за да се защитите от неправомерен достъп от хора или приложения до вашите мрежи и свързаните към тях устройства. Или казано другояче, вашият компютър не може да бъде хакнат, ако хакерите не могат да го достигнат по мрежата.
 



Основи на мрежовата сигурност
Определенията са изявления за намерение на най-високо ниво. Но как да изготвите план за прилагането на тази визия? Стивън Норткът(Steven Nortcutt), един от основателите на SANS, описва основите на мрежовата сигурност за CSOonline преди повече от 10 години, но експерти смятат, че неговото виждане за трите фази на мрежовата сигурност е все още в сила и трябва да бъде основната рамка за вашата стратегия. В своето изложение той обяснява, че мрежовата сигурност се състои от следното:

Защита: Трябва да конфигурирате системите и мрежите си възможно най-правилно.
Засичане: Трябва да можете да идентифицирате кога конфигурацията се е променила или кога даден мрежови трафик сигнализира за проблем.
Реакция: След като идентифицирате проблема, трябва да реагирате и да се върнете в сигурно състояние възможно най-бързо.

Това накратко е стратегия за защита в дълбочина. Ако има нещо, за които експертите по сигурност са на едно мнение, то е, че да се разчита на един-единствен вид защита е опасно, защото всеки отделен инструмент може да бъде преодолян от упорит противник. Вашата мрежа не е линия или точка – тя е територия и дори натрапникът да е навлязъл в част от нея, вие все още имате ресурсите да се прегрупирате и да го изгоните, ако сте организирали защитата си правилно.

Методи за мрежова сигурност
За да се реализира такава защита в дълбочина, съществуват различни специализирани техники и видове мрежова защита, които да използвате. Cisco, компания за мрежова инфраструктура, използва следната схема за определяне на различните видове мрежова сигурност:

Контрол на достъпа: Трябва да можете да блокирате неоторизирани потребители и устройства да влизат в мрежата ви. Потребителите, които имат позволение, трябва да могат да работят с ограничен набор от ресурси, за които са оторизирани.
Защита срещу зловреден код (anti-malware): Вируси, червеи и троянци по дефиниция се разпространяват чрез мрежата и могат да се спотайват на заразените машини с дни или седмици. Защитните ви мерки трябва да са в състояние да предотвратят първоначално заразяване и да изкоренят зловредния код, който се опитва да се промъкне в мрежата.
Защита на приложенията: Незащитените приложения често са вратичката, през която хакерите получават достъп до мрежата. Трябва да използвате хардуер, софтуер и защитни процеси, които спират тези приложения.
Анализ на поведението: Трябва да знаете как се държи нормално мрежата ви, за да засичате аномалии или пробиви, когато се случват.
Предотвратяване на загуба на данни: Хората неизбежно са най-слабата точка в сигурността. Трябва да внедрявате технологии и процеси, които да гарантират, че служителите няма умишлено или неволно да изпратят важни данни извън мрежата.
Защита на електронната поща: Фишингът е един от най-често срещаните начини за хакерите да получат достъп до мрежата. Инструментите за защита на електронната поща могат да блокират както входящи атаки, така и изходящи съобщения с важни данни.
Защитни стени: Това са едни от най-старите инструменти в света на мрежовата сигурност и следват правилата, които определяте, за да позволявате или забранявате преминаването на трафик на границата между вашата мрежа и интернет, като изграждате бариера между вашата зона на сигурност и „дивия запад“ навън. Те не изключват необходимостта от стратегия за защита в дълбочина, но все още са задължителни.
Засичане и предотвратяване на пробиви: Подобни системи сканират мрежовия трафик, за да засекат и блокират атаки, често сравнявайки мрежова активност с бази данни, с познати хакерски техники.
Защита на мобилни и безжични устройства: Безжичните устройства крият потенциална заплаха за сигурността като всяка мрежова джаджа – но могат също така да се свържат до всяка налична wi-fi мрежа и изискват допълнителен контрол.
Мрежова сегментация: Софтуерно дефинираната сегментация слага мрежовия трафик в различни класификации и улеснява налагането на политики на сигурността.
Информация за сигурността и управлението на събития (Security information and event management или SIEM): Тези продукти имат за цел автоматично да събират информация от различни мрежови инструменти, за да осигурят нужните ви данни за засичане и реакция срещу заплахи.
Виртуални частни мрежи (Virtual private network или VPN): Инструмент (обикновено базиран на IPsec или SSL), който удостоверява комуникацията между устройство и защитена мрежа, като създава сигурен, криптиран „тунел“ през отворения интернет.
Уеб сигурност: Трябва да можете да контролирате ползването на интернет от служителите, за да блокирате уеб базираните заплахи от ползване на браузърите като входна точка за заразяване на мрежата.

Мрежовата сигурност и облакът
Все повече компании прехвърлят част от ИТ нуждите си към доставчици на облачни услуги, като създават хибридни инфраструктури, в които вътрешната им мрежа трябва да си взаимодейства безпроблемно – и по сигурен начин – със сървъри, собственост на трети страни. Понякога тази инфраструктура е самостоятелна мрежа, която може да бъде или физическа (няколко облачни сървъра, работещи заедно), или виртуална (множество виртуални машини (VM), които работят заедно и се свързват помежду си на един физически сървър).

За да се справят с проблемите на сигурността, много доставчици на облачни решения налагат на собствената си платформа политики на централизиран контрол на сигурността. Засечката тук обаче е, че тези системи за защита невинаги съвпадат с вашите политики и процедурите на вътрешната ви мрежа. Съществуват различни инструменти и техники, които да ви помогнат да облекчите отчасти проблема, но истината е, че тази област е все още в развитие и удобството на облака може да означава мрежови главоболия за вас.

Софтуер за мрежова сигурност
За да покриете всички споменати области, ви трябват различни софтуерни и хардуерни инструменти. Най-уважаваният от тях, както отбелязахме, са защитните стени. Определено дните, в които защитната стена беше началото и краят на мрежовата сигурност, отдавна са минали и защитата в дълбочина е необходима за борба с заплахите зад (и дори пред) нея. Но защитните стени не могат да бъдат отхвърлени изцяло. Те са един от елементите на стратегията ви за хибридна защита в дълбочина. И както обяснява eSecurity Planet, съществуват редица видове защитни стени, много от които са свързани с различните видове мрежова сигурност, споменати по-горе:

Мрежови защитни стени
Защитни стени от ново поколение
Защитни стени на уеб приложения
Защитни стени на бази данни
Управление на заплахите
Облачни защитни стени
Защитни стени на контейнери
Защитни стени на мрежовата сегментация

Извън защитната стена експертът по мрежова сигурност би внедрил набор от инструменти, с които да следи какво се случва в неговата мрежа. Някои от тях са корпоративни продукти на големи доставчици, докато други са под формата на безплатни инструменти с отворен код, които системните администратори използват от зората на Unix. Чудесен източник е SecTools.org, която поддържа симпатична Web 1.0 уеб страница с актуален списък на най-популярните по мнение на потребителите инструменти за мрежова защита. Сред топ категориите са:

Подслушвачи на пакети, които дават задълбочен поглед върху трафика на данни
Скенери на уязвимостта като Nessus
Софтуер за засичане и предотвратяване на пробиви като легендарния Snort
Софтуер за тестване на пробиви 

Последната категория може да предизвика коментари – в крайна сметка какво е тестването на пробиви, ако не опит за хакване на мрежата? Но част от това да сте сигурни, че сте защитени, включва проверката колко трудно или лесно е да се осъществи пробив. Етичният хакер е важна част от мрежовата сигурност. Затова срещаме инструменти като Aircrack, който подслушва за ключове на безжична мрежова сигурност, наред с корпоративни продукти в списъка на SecTools.org, които струват десетки хиляди долари.

В среда, в която трябва да подкарате много инструменти заедно, може би ще ви е нужен и SIEM софтуер, който вече споменахме. SIEM продуктите не са вече само логин софтуер, но анализират мрежовите данни, събрани от различни инструменти, за да засичат подозрително поведение в мрежата.

Позиции и заплати в областта на мрежовата сигурност
Ако търсите развитие в сферата на мрежовата сигурност, имате късмет: тези позиции се търсят много и се заплащат добре. По данни на компанията за набиране на персонал Mondo анализаторът на мрежова сигурност е една от шестте най-високо платени позиции в сферата на киберсигурността със заплати от 90 000 до 150 000 долара годишно.

Какво точно прави анализаторът на мрежова сигурност? И с какво се различава от инженера по мрежова сигурност? Когато става дума за наименования на длъжности, винаги липсва яснота.

На теория инженерът по мрежова сигурност най-вероятно изгражда системите за защита, докато анализаторът има за задача да се рови в данните на инструментите за мрежова сигурност и да търси проблеми. В действителност хората и на двете длъжности правят по малко и от двете неща и вашите способности ще имат много по-голяма тежест в автобиографията от някакво си наименование на длъжност. Според Glassdoor анализаторът на мрежова сигурност получава малко по-малко, около 80 000 годишно, за разлика от 82-те хиляди долара за инженера, но факторите в образуването на заплатите са много, така че разглеждайте тези цифри с едно наум.

Може да сте сигурно обаче, че и двете са професии на бъдещето. Алиса Джонсън, главен директор ИТ сигурност в Xerox, е била инженер по мрежова сигурност в Northrup Grumman, преди да се издигне и да достигне сегашната си директорска позиция.

Сертификати по мрежова сигурност
Макар да няма сертификати изцяло по мрежова сигурност, съществуват множество такива, с които да докажете качествата си. Те или са сертификати по сигурност с мрежов компонент, или са мрежови сертификати с елемент за сигурността. Ето някои от най-престижните:

CISSP, „перлата в короната“ на сертификатите по киберсигурност
CompTIA's Network+
Cisco Certified Network Associate
Certified Ethical Hacker, за всички желаещи да тестват за пробиви 

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов