Anonim

Gorodenkoff / Shutterstock

Potenciálne útoky, zraniteľné miesta v softvéri a platforme, malware a nesprávne nastavenie konfigurácie môžu predstavovať vážne hrozby pre organizácie, ktoré sa snažia chrániť súkromné, dôverné alebo vlastnícke údaje. Našťastie, rôzne technológie - spoločne známe ako jednotné riadenie hrozieb (UTM) - uľahčujú používanie virtualizovaných a / alebo prístrojových nástrojov na zabezpečenie dôkladného a komplexného zabezpečenia.

V kombinácii s pravidelnými aktualizáciami, monitorovacími a správcovskými službami a kľúčovými bezpečnostnými výskumnými a spravodajskými údajmi môžu organizácie postaviť obranu pomocou UTM a spoľahlivej bezpečnostnej politiky, aby sa vysporiadali s touto škálou hrozieb.

Čo ide do zjednoteného riadenia hrozieb?

História informačnej bezpečnosti a paliatívnych technológií siaha až do 80-tych rokov, kedy boli dostupné prvky obvodovej bezpečnosti (prostredníctvom firewallov a skríningových smerovačov) a ochrany pred malvérom (predovšetkým vo forme skorých antivírusových technológií). Postupom času, keď sa hrozby vyvinuli v sofistikovanosti a schopnosti, boli k dispozícii ďalšie prvky určené na zabezpečenie obchodných alebo organizačných sietí a systémov na boj proti takýmto veciam. Patria sem e-mailové kontroly, skríning súborov, ochrana pred phishingom a zoznamy povolených adries a zoznamy zakázaných adries pre adresy IP a adresy URL.

Od polovice deväťdesiatych rokov do prvej dekády 21. storočia došlo k neuveriteľnému množeniu bodových riešení zameraných na boj proti špecifickým typom hrozieb, ako sú malware, útoky založené na IP, distribuované útoky odmietnutia služby (DDoS) a nečestníci. webové stránky s možnosťou stiahnutia z disku. To viedlo k útoku softvérových riešení a hardvérových zariadení určených na čelenie jednotlivým triedam hrozieb. Súbor bezpečnostných systémov s jedným zameraním nemôže, bohužiaľ, pomôcť, ale chýba im konzistentná a koherentná koordinácia.

Bohužiaľ, to nepriznáva žiadnu schopnosť detekovať a zmierňovať hybridné útoky, ktoré by mohli začať nečestnou adresou URL zabudovanou do tweetu alebo e-mailovej správy, pokračovaním sťahovania po jednotke pri prístupe na túto adresu URL a skutočne sa rozbehnúť, keď sa tajne nainštalovaný keylogger sa spojí s časovaným prenosom zachytených údajov zo zadného zadného používateľa. Horšie však je, že mnohé z týchto aplikácií sú založené na webe a používajú štandardné adresy portov HTTP, takže na detekciu a potlačenie nežiaducich vplyvov pri práci je preto potrebné sledovanie obsahu a aktivít na vyššej úrovni.

Jednoducho povedané, základným predpokladom UTM je vytvorenie výkonných, prispôsobených počítačových architektúr spracovania, ktoré dokážu spracovať, kontrolovať a (v prípade potreby) blokovať veľké množstvo sieťového prenosu pri rýchlostiach drôtov alebo v ich blízkosti. Rovnaké údaje, ktoré sa musia vyhľadávať na čiernej listine IP adries alebo adries URL, sa musia skontrolovať na prítomnosť škodlivých kódov, musia sa skontrolovať proti úniku údajov a skontrolovať, či sú povolené protokoly, aplikácie a príslušné údaje, a aby boli priaznivé. Z tohto dôvodu typické riešenia UTM obvykle spájajú veľké množstvo funkcií vrátane týchto:

  • Proxy služby blokujú odhalenie podrobností o interných IP adresách v sieťach a skúmajú komunikáciu a prenos údajov na aplikačnej úrovni.
  • Štátna kontrola paketov rozlišuje legitímnu sieťovú komunikáciu od podozrivých alebo známych škodlivých foriem komunikácie.
  • Hlboká kontrola paketov umožňuje skontrolovať dátovú časť alebo užitočné zaťaženie sieťových paketov. Toto zariadenie chráni nielen pred škodlivým softvérom, ale tiež umožňuje kontrolu údajov blokovať únik utajovaných, súkromných alebo dôverných údajov cez hranice siete. Tento druh technológie sa nazýva prevencia straty dát (DLP). Technológia DPI tiež podporuje všetky druhy filtrovania obsahu.
  • Dešifrovanie paketov v reálnom čase využíva špeciálny hardvér (ktorý v podstate reprodukuje softvérové ​​programy vo forme vysokorýchlostných obvodov na vykonávanie komplexnej analýzy údajov), aby umožnil hĺbkovú kontrolu pri rýchlostiach sieťového drôtu alebo v jeho blízkosti. To organizáciám umožňuje aplikovať ovládacie prvky na úrovni obsahu aj na šifrované údaje a kontrolovať takéto údaje z hľadiska dodržiavania zásad, filtrovania škodlivého softvéru a ďalších.
  • Spracovanie e-mailov zahŕňa detekciu a odstránenie škodlivého softvéru, filtrovanie spamu a kontrolu obsahu phishingu, škodlivých webových stránok a adries a adries URL na čiernej listine.
  • Detekcia narušenia a blokovanie sleduje prichádzajúce prenosové vzorce na detekciu útokov DDoS a reagovanie na ne, ako aj na viacnásobné a škodlivé pokusy narušiť bezpečnosť sietí a systémov alebo získať neoprávnený prístup k systémom a údajom.
  • Kontrola aplikácií (alebo filtrovanie) sleduje používané aplikácie - najmä webové aplikácie a služby - a uplatňuje bezpečnostnú politiku na blokovanie alebo vyhladenie nechcených alebo neautorizovaných aplikácií pri spotrebovaní sieťových zdrojov alebo pri vykonávaní neoprávneného prístupu k (alebo prenosu) údajov.
  • Virtuálna súkromná sieť (VPN) alebo zariadenia vzdialeného prístupu umožňujú vzdialeným používateľom nadviazať bezpečné súkromné ​​pripojenie prostredníctvom verejných sieťových pripojení (vrátane internetu). Väčšina organizácií používa takéto technológie na ochranu sieťového prenosu pred snoopingom, zatiaľ čo je na ceste od odosielateľa k príjemcovi.

Moderné zariadenia UTM zahŕňajú všetky tieto funkcie a ďalšie kombináciou rýchlych a výkonných sieťových obvodov na špeciálne účely so zariadeniami na všeobecné použitie. Vlastné obvody, ktoré vystavujú sieťovú prevádzku podrobnej a starostlivej analýze a inteligentnej manipulácii, neznižujú priaznivé pakety počas prepravy. Môže však odstrániť podozrivé alebo pochybné pakety z prebiehajúcich dopravných tokov a obrátiť ich na programy a filtre. Tieto agentúry môžu následne vykonávať zložitú alebo sofistikovanú analýzu na rozpoznanie a narušenie útokov, odfiltrovanie nechceného alebo škodlivého obsahu, zabránenie úniku údajov a zabezpečenie toho, aby sa bezpečnostné politiky vzťahovali na všetku sieťovú prevádzku.

Jednotní poskytovatelia riadenia hrozieb

Zariadenia UTM majú zvyčajne formu špeciálnych sieťových zariadení, ktoré sú umiestnené na hranici siete a prechádzajú cez prepojenia, ktoré spájajú interné siete s externými sieťami prostredníctvom vysokorýchlostných spojení s poskytovateľmi služieb alebo komunikačnými spoločnosťami.

Z hľadiska konštrukcie zariadenia UTM koordinujú všetky aspekty bezpečnostnej politiky, takže pri prichádzajúcej a odchádzajúcej sieťovej prevádzke uplatňujú konzistentnú a koherentnú sadu kontrol a vyvážení. Väčšina výrobcov zariadení UTM stavia svoje zariadenia tak, aby pracovali s centralizovanými webovými riadiacimi konzolami. To umožňuje spoločnostiam spravujúcim sieť nainštalovať, nakonfigurovať a udržiavať zariadenia UTM pre svojich klientov. Túto funkciu môžu pre seba prevziať aj centralizované IT oddelenia. Takýto prístup zaisťuje, že rovnaké kontroly, filtre, kontroly a presadzovanie pravidiel sa vzťahujú na všetky zariadenia UTM rovnako, pričom sa predchádza medzerám, ktoré môžu odhaliť viaceré rôzne bodové riešenia (diskrétne brány firewall, e-mailové zariadenia, filtre obsahu, antivírusové kontroly atď.).

Výber najlepších poskytovateľov UTM

Gartner vykázal v roku 2017 tržby na trhu UTM 2, 18 miliárd dolárov. Očakáva, že tento trh bude v dohľadnej budúcnosti naďalej rásť spolu s celkovými investíciami do IT (sadzby v rozmedzí 2-5% sa vzťahujú na väčšinu ekonomík, ale vyššie sú na vedúce ekonomiky). ako krajiny BRIC).

Dôvtipní kupujúci hľadajú funkcie, ako sú funkcie opísané v predchádzajúcej časti (sofistikované brány firewall s hĺbkovou kontrolou paketov, detekcia a prevencia narušenia, kontrola aplikácií, VPN, filtrovanie obsahu, ochrana pred stratou / únikom údajov, ochrana pred škodlivým softvérom atď.). V súčasnosti kupujúci hľadajú aj tieto funkcie:

  • Podpora sofistikovaných virtualizačných technológií (pre virtuálnych klientov a servery, ako aj virtualizované implementácie samotných zariadení UTM)
  • Ovládacie prvky koncových bodov, ktoré presadzujú zásady zabezpečenia spoločnosti na vzdialených zariadeniach a ich užívateľoch
  • Integrované bezdrôtové ovládače na konsolidáciu káblového a bezdrôtového prenosu na rovnakom zariadení, zjednodušenie vykonávania a presadzovania bezpečnostných politík a zníženie zložitosti siete

Napokon, pokročilé zariadenia UTM musia tiež podporovať flexibilné architektúry, ktorých firmvér možno ľahko aktualizovať, aby zahŕňal nové prostriedky filtrovania a detekcie a reagoval na neustále sa meniacu hrozbu. Tvorcovia UTM vo všeobecnosti pracujú s veľkými, prebiehajúcimi bezpečnostnými tímami, ktoré čo najrýchlejšie monitorujú, katalogizujú a reagujú na vznikajúce hrozby. Poskytujú varovania a pokyny pre organizácie klientov, aby sa predišlo zbytočnému vystaveniu sa rizikám a hrozbám.

Niektoré z najznámejších mien v počítačovom priemysle ponúkajú svojim zákazníkom riešenia UTM, ale nie všetky sú podobné. Vyhľadajte riešenia od spoločností ako Cisco, Netgear, SonicWall a Juniper. Určite nájdete ponuky, ktoré poskytujú správnu kombináciu funkcií a ovládacích prvkov, spolu s veľkosťou, rýchlosťou a nákladovými charakteristikami navrhnutými tak, aby vyhovovali vašim bezpečnostným potrebám bez porušenia vášho rozpočtu.

Certifikácie IT infosec, ktoré sa zameriavajú na UTM

Ako potvrdzuje návšteva pravidelného prieskumu certifikátov informačnej bezpečnosti na serveri SearchSecurity, v tejto širokej oblasti je v súčasnosti k dispozícii viac ako 100 aktívnych a prebiehajúcich poverení. Nie všetky z nich však adresujú UTM priamo alebo explicitne. Aj keď neexistuje žiadne poverenie, ktoré sa zameriava výlučne na tento aspekt informačnej bezpečnosti, nasledujúce dobre známe osvedčenia zahŕňajú pokrytie predmetu v cieľoch skúšok alebo súvisiaci spoločný súbor poznatkov, ktoré musia uchádzači ovládať:

  • Audítor informačných systémov certifikovaný ISACA (CISA)
  • Certifikáty Cisco Security: CCNA Security, CCNP Security, CCIE Security
  • Certifikáty Juniper Security: JNCIS-SEC, JNCIP-SEC, JNCIE-SEC, JNCIA-SEC
  • (ISC) 2 Certified Information Systems Security Professional (CISSP)
  • SANS GIAC Certified Incident Handler (GCIH)
  • SANS GIAC Windows Security Administrator (GCWN)
  • Globálne stredisko pre certifikácie verejnej bezpečnosti (úrovne CHPP a CHPA I-IV)

Z týchto osvedčení všeobecné položky, ako sú CISA, CISSP, CHPP / CHPA a dve certifikácie SANS GIAC (GCIH a GCWN), poskytujú rôzne úrovne pokrytia základných zásad, ktorými sa riadi DLP, a osvedčených postupov pre ich uplatňovanie a používanie v kontexte dobre definovanej bezpečnostnej politiky. Z nich sú CISSP a CISA najvyspelejšími a najnáročnejšími kermi. Na druhej strane sa poverenia Cisco a Juniper zameriavajú viac na podrobnosti konkrétnych platforiem a systémov od tých dodávateľov, ktorí sú navrhnutí na poskytovanie fungujúcich riešení UTM.