Брандмауэры постоянно развиваются, чтобы оставаться основным элементом сетевой безопасности, благодаря включению функциональных возможностей автономных устройств, принятию изменений в архитектуре сети и интеграции внешних источников данных для добавления интеллекта к принимаемым решениям — огромного количества возможностей, которые трудно отследить.

Из-за этого богатства функций брандмауэры следующего поколения трудно освоить полностью, а важные возможности иногда можно упустить из виду и на практике упустить из виду.

Вот краткий список новых функций, которые должны знать ИТ-специалисты Cisco.

Сегментация сети

Разделение одной физической сети на несколько логических сетей известно как сегментация сети, в которой каждый сегмент ведет себя так, как будто он работает в своей собственной физической сети. Трафик из одного сегмента не может быть просмотрен или передан другому сегменту.

Это значительно уменьшает поверхность атаки в случае нарушения. Например, больница может поместить все свои медицинские устройства в один сегмент, а свои записи пациентов — в другой. Затем, если хакеры повредят сердечный насос, который не был закреплен должным образом, это не позволит им получить доступ к личной информации пациента.

Важно отметить, что многие связанные объекты, составляющие Интернет вещей (IoT), имеют более старые операционные системы и изначально небезопасны и могут служить отправной точкой для злоумышленников, поэтому рост IoT и его распределенная природа приводят к необходимости. для сегментации сети.

Оптимизация политики

Политики и правила брандмауэра — это движок, который запускает брандмауэры. Большинство специалистов по безопасности боятся удалять устаревшие политики, потому что они не знают, когда они были введены в действие или почему. В результате правила продолжают добавляться, не задумываясь об уменьшении общего количества.

Некоторые предприятия говорят, что у них есть миллионы правил брандмауэра. Дело в том, что слишком много правил добавляют сложности, могут конфликтовать друг с другом и требуют много времени для управления и устранения неполадок.

Оптимизация политики переносит устаревшие правила политики безопасности в правила для приложений, которые разрешают или запрещают трафик в зависимости от того, какое приложение используется. Это повышает общую безопасность за счет уменьшения поверхности атаки, а также обеспечивает видимость для безопасного доступа к приложениям.

Оптимизация политики определяет правила на основе портов, чтобы их можно было преобразовать в правила для белого списка приложений или добавить приложения из правила на основе порта в существующее правило на основе приложений без ущерба для доступности приложений.

Он также определяет чрезмерно обеспеченные правила для приложений. Оптимизация политики помогает определить приоритеты, какие правила на основе портов необходимо перенести в первую очередь, определить правила на основе приложений, которые разрешают приложения, которые не используются, и проанализировать характеристики использования правил, такие как число обращений, которое сравнивает частоту применения определенного правила и как часто применяются все правила.

Преобразование правил на основе портов в правила на основе приложений улучшает состояние безопасности, поскольку организация может выбирать приложения, которые они хотят включить в белый список, и запрещать все другие приложения. Таким образом, нежелательный и потенциально вредоносный трафик удаляется из сети.

Предотвращение кражи учетных данных

Исторически работники обращались к корпоративным приложениям из офисов компании. Сегодня они получают доступ к устаревшим приложениям, приложениям SaaS и другим облачным сервисам из офиса, дома, аэропорта и где бы то ни было.

Это значительно упрощает краже учетных данных субъектами угрозы. Отчет Verizon Data Breach Investigations обнаружил, что 81% нарушений, связанных со взломом, использовали украденные и / или слабые пароли.

Предотвращение кражи учетных данных не позволяет сотрудникам использовать корпоративные учетные данные на таких сайтах, как Facebook и Twitter. Даже если они могут быть санкционированы приложениями, использование корпоративных учетных данных для доступа к ним ставит бизнес под угрозу.

Предотвращение кражи учетных данных работает путем сканирования представленных на веб-сайтах имен пользователей и паролей и сравнения этих представлений со списками официальных корпоративных учетных данных. Компании могут выбирать, какие веб-сайты разрешать отправлять корпоративные учетные данные или блокировать их в зависимости от категории URL-адреса веб-сайта.

Когда брандмауэр обнаруживает, что пользователь пытается отправить учетные данные на сайт в категории с ограничениями, он может отобразить страницу блочного ответа, которая запрещает пользователю отправлять учетные данные.

Кроме того, он может отображать страницу продолжения, которая предупреждает пользователей против отправки учетных данных на сайты, классифицированные в определенных категориях URL, но все же позволяет им продолжать отправку учетных данных. Специалисты по безопасности могут настроить эти блочные страницы, чтобы научить пользователей не использовать корпоративные учетные данные даже на законных сайтах без фишинга.

Безопасность DNS

Комбинация машинного обучения, аналитики и автоматизации может блокировать атаки, использующие систему доменных имен (DNS) . На многих предприятиях DNS-серверы не защищены и полностью открыты для атак, которые перенаправляют пользователей на вредоносные сайты, где они подвергаются фишингу и краже данных.

Акторы угроз имеют высокую степень успеха при атаках на основе DNS, поскольку группы безопасности имеют очень мало информации о том, как злоумышленники используют службу для поддержания контроля над зараженными устройствами. Существуют отдельные автономные службы безопасности DNS, которые в меру эффективны, но им не хватает объема данных для распознавания всех атак.

Когда безопасность DNS интегрирована в брандмауэры, машинное обучение может анализировать огромный объем сетевых данных, что делает ненужными автономные инструменты анализа. Безопасность DNS, встроенная в брандмауэр, может прогнозировать и блокировать вредоносные домены с помощью автоматизации и анализа в реальном времени, который их обнаруживает.

По мере роста количества плохих доменов машинное обучение может быстро их найти и гарантировать, что они не станут проблемами.

Интегрированная безопасность DNS также может использовать аналитику машинного обучения для нейтрализации туннелирования DNS, который переправляет данные через брандмауэры, скрывая их в запросах DNS. DNS-безопасность также может обнаруживать вредоносные серверы управления и контроля.

Он построен на основе систем на основе сигнатур для определения расширенных методов туннелирования и автоматизирует отключение атак DNS-туннелирования.

Динамические группы пользователей

Можно создать политику, которая автоматизирует исправление аномальных действий работников. Основная предпосылка заключается в том, что роли пользователей в группе означают, что их поведение в сети должно быть одинаковым. Например, если рабочий фишинг и были установлены странные приложения, это будет выделяться и может указывать на нарушение.

Исторически карантин группы пользователей занимал очень много времени, потому что каждый член группы должен был быть адресован и политики применялись индивидуально. В динамических группах пользователей, когда брандмауэр видит аномалию, он создает политики, которые противодействуют аномалии и выталкивают их в группу пользователей.

Вся группа автоматически обновляется без необходимости вручную создавать и фиксировать политики. Так, например, все люди в бухгалтерии будут получать одно и то же обновление политики автоматически, а не вручную, по одному.

Интеграция с брандмауэром позволяет брандмауэру распределять политики для группы пользователей по всей другой инфраструктуре, которая требует этого, включая другие брандмауэры, сборщики журналов или приложения.

Брандмауэры были и будут являться якорем кибербезопасности. Они являются первой линией защиты и могут предотвратить множество атак, прежде чем проникнуть в корпоративную сеть.

Максимизация ценности брандмауэров означает включение многих расширенных функций, некоторые из которых были в брандмауэрах в течение многих лет, но не были включены по ряду причин.

Источник: https://ruscopybook.com