1. Петр Стельмах
Директор технического департамента
Защита сетевого периметра.
Комплексный подход при решении ключевых задач
PaloAlto Algosec Splunk
1

2. Мировые тренды
• Виртуализация, переход на «облако», консолидация ЦОД-ов меняют
базовые архитектуры ИТ-инфраструктур и способы их защиты;
• Расширенное использование мобильного интернета для работы с
корпоративными системами (при помощи VPN, смартфонов, планшетов
и т.п.) меняет понятия «периметра» и усложняет механизмы и
принципы его защиты;
• Динамика корпоративных систем и бизнес-приложений обязывает
непрерывный поток изменений в правилах фильтрации трафика, и, по
достижению критического объёма, приводит к бесконтрольному
увеличению базы правил и «пожирания» памяти Meжсетевых экранов
(МСЭ), вплоть до выхода их из строя.
2

3. Мировые тренды
• Развитие технологий и методов использования вредоносного ПО
повышает уровень и «качество» угроз ИТ-системам и конфиденциальной
информации, а также увеличивает объём причиняемого ущерба;
• Защита периметра при помощи фильтрации трафика на основе IP-адреса,
протокола и порта изживает себя.
В таких условиях требуются передовые методологии защиты:
• Требуется гранулярный контроль трафика приложений и контента с
учётом характеристик пользователя для защиты от внешних угроз и от
утечки информации. Однако, переход от фильтрации IP к МСЭ нового
поколения увеличивает количество объектов и правил фильтрации на 20-
30%, что существенно усложняет задачу их администрирования.
3

4. Способы решения задач
• Оптимизировать существующую сеть МСЭ для:
– снижения темпов роста баз правил фильтрации;
– снижения рисков и закрытие лазеек в существующей базе правил МСЭ;
– повышения скорости прохождения трафика.
• Автоматизировать процессы работы с политиками ИБ и правилами
фильтрации МСЭ для:
– снижения объёма ручной работы sys admin-ов;
– уменьшения ошибок в настройках МСЭ;
– соблюдения требуемых регламентов при предоставлении доступа к
системам и приложениям ИТ и проведении изменений в правилах МСЭ.
• Запланировать и выполнить переход на МСЭ нового поколения для
повышения уровня защиты сети;
• Проводить планомерные аудиты по ИБ и ИТ для того, чтобы
удостовериться, что вышеуказанные меры работают.
4

5. Предлагаемые решения
Межсетевой экран нового поколения
(Next-Generation Firewall, NGFW) – как ключевой
элемент защиты сетевого периметра
Система обработки машинных данных -
сопоставление приложений и пользовательской
активности в масштабах всей сети – оперативное
реагирование на инциденты ИБ
Cистема управления МСЭ –
автоматизация процессов управления
политиками ИБ и правилами фильтрации
5

6. Межсетевой экран нового поколения
(Next-Generation Firewall, NGFW)
6

7. Palo Alto Networks
Сертификат ФСТЭК и НДВ на МЭ и IPS (PA-5000/2000/500):
• АС класса защищенности до 1Гб включительно;
• ИСПДн до 1 класса включительно (соответствие 152-ФЗ).
7
• Palo Alto Networks – это:
• Специализация на межсетевых экранах нового
поколения, способных распознавать и контролировать
1700+ приложениями ??
– Межсетевой экран – ключевой элемент
инфраструктуры сетевой безопасности
– Использует инновационные технологии: App-ID™,
User-ID™, Content-ID™, WildFire™
• 10 000+ корпоративных заказчиков в 100+ странах
мира, 40+ из которых внедрили решение стоимостью
более $1 000 000

8. Текущая ситуация в
корпоративных сетях
8
Приложения изменились и МСЭ предыдущего поколения не отвечают новым
требованиям….. Отсутствует должный контроль приложений
Политики межсетевых экранов
базируются на контроле:
• Портов
• IP-адресов
• Протоколов
ОДНАКО…приложения изменились
• Порты ≠ Приложения
• IP-адреса ≠ Пользователи
• Пакеты ≠ Контент

9. Текущая ситуация в
корпоративных сетях
9
Приложения являются источником рисков
Приложения и угрозы уровня приложений создают
бреши в системе безопасности
Приложения сами могут быть “угрозами”
• P2P file sharing, туннельные
приложения, анонимайзеры,
мультимедиа
Приложения могут способствовать
распространению угроз
• Qualys Top 20 уязвимостей:
основные угрозы – это угрозы
уровня приложений

10. Решения Palo Alto Networks
10
Новые технологии идентификации
App-ID™
Идентификация приложений на L7:
- независимо от портов;
- дешифрация SSL;
- сигнатурное сканирование;
- декодер протоколов;
- поведенческий анализ.
User-ID™
Идентификация пользователей:
- интеграция с сетевыми каталогами,
- поддержка L3 роуминга;
- поддержка терминальных сервисов
Microsoft, Citrix;
- веб-портал аутентификации.
Content-ID™
Контроль данных:
- IPS + AV + AS + URL-фильтрация;
- контроль передачи файлов;
- обнаружение угроз «нулевого дня».

11. Основные преимущества
использования NGFW
11
• Идентификация приложений, а не только портов. Идентификация приложения
независимо от используемых портов, протоколов, средств шифрования (SSL или SSH) и
тактики обхода средства анализа трафика.
• Идентификация пользователей, а не только IP-адресов. Использование информации о
пользователях и группах из корпоративных каталогов для мониторинга, создания
политик, формирования отчетов и расследования инцидентов в сфере информационной
безопасности независимо от местоположения пользователя.
• Анализ контента в режиме реального времени. Защита сети от попыток использования
эксплойтов для известных уязвимостей и распространения вредоносных программ в
трафике уровня приложений независимо от источника.
• Формирование логического периметра. Защита всех пользователей, включая удаленных,
с помощью механизмов обеспечения безопасности, формирующих не физический, а
логический периметр сети.

12. Интеллектуальная автоматизация управления
политикой Межсетевых экранов (МСЭ)
12

13. Нужна ли Вам автоматизация
управления МСЭ?
1. Сколько и каких МСЭ, фильтрующих роутеров и других устройств ИБ Вы используете?
2. Из скольких правил состоит самая большая политика МСЭ? Растёт ли база правил?
3. Нужно ли Вам устранять старые правиладубли для оптимизации политик?
4. Хотели бы Вы найти и урезать слишком разрешающие правила (использование “ANY”)?
5. Сколько изменений в политики МСЭ Вы вносите еженедельно?
6. Сколько времени занимает обработка запроса на изменение?
7. Используется ли у Вас управление изменениями для МСЭ? Довольны ли Вы им?
8. Есть ли у Вас проблемы с непрерывностью бизнеса из-за неверных настроек МСЭ и
неправильно выполненных изменений в правилах МСЭ?
13
Автоматизация нужна – если:
• у Вас множество МСЭ, роутеров и устройств ИБ
• МСЭ нескольких производителей
• у Вас больше правил фильтрации, чем помнят Ваши sysadmin-ы
• процесс изменения политик МСЭ приносит Вам «головную боль»

14. Инфраструктура
сетевой ИБ
Бизнес
Приложения
Компоненты AlgoSec
14
Ответственные за
бизнес приложения
Ответственные за ИБАдминистраторы сети и операционных систем
Своевременные
настройки доступа
для бизнес
приложений
Улучшенное
взаимодействие
команд ИТ и ИБ
Возврат инвестиций в течении одного года!
Полная
прозрачность и
контроль правил
и политик МСЭ
AlgoSec Security Management Suite (ASMS)
FireFlow Firewall AnalyserBusinessFlow

15. AlgoSec Firewall Analyzer
15
Определение топологии Мониторинг изменений
Проверка Рисков
Оптимизация правил Проверка настроек
МСЭ нового поколения Анализ роутеров
Аудит
• Генерация автоматизированных отчетов аудита и соблюдения соответствия правилам
• Отслеживание всех изменений политики сетевой безопасности
• Эффективное устранение сетевых проблем
• Обнаружение и минимизация рисков в
политике МСЭ
• Очистка и оптимизация правил МСЭ

16. AlgoSec FireFlow
16
Автоматизация процессов Планирование изменений
Анализ рисков Установка политик
Change Validation Интеграция с CMS
Отчёты по SLA Работа с Web Gateways
• Обработка изменений сетевой безопасности,
проводимая вдвое быстрее;
• Отсутствие ненужных изменений;
• Профилактическая оценка риска каждого предлагаемого изменения;
• Обеспечение соответствия изменений регуляторным и корпоративным стандартам;
• Точность отслеживания и аудита всего цикла существования изменения.

17. AlgoSec BusinessFlow
17
Портал доступности Управление тр. доступа
Вывод из эксплуатации
Аудит изменений Определение связей
Проверка связей
Управление приложениями:
• поиск, обнаружение;
• проверка совместимости, аудит;
• добавление вручную-автоматически;
• безопасное «удаление» приложений.

18. Результаты
применения AlgoSec:
 Повышение производительности и взаимодействия разных команд ИТ и ИБ;
 Настройки ИБ производятся в 2-4 быстрее;
 Повышение устойчивости к кибер атакам благодаря более правильным настройкам МСЭ;
 Снижение количества проблем из-за неправильных настроек, снижение времени на
определение проблем доступа к услугам из-за проблем МСЭ – до 15% в среднем;
 Продление жизни существующим МСЭ – до 10%;
18

19. обработка журналов регистрации, средств защиты
и элементов ИТ-инфраструктуры
19

20. Многообразие ИТ-данных
 Гетерогенная ИТ-инфраструктура,
большое количество систем и
оборудования различного
назначения;
 Множество журналов регистрации
различных форматов и интенсивности
поступления событий.
Сложность обработки больших объемов
данных с целью выявления
инцидентов ИТ/ИБ.
20
Обработка ИТ-инцидента вручную
 Длительность обработки;
 Задействовано большое количество
специалистов;
 Негативное влияние на текущие бизнес-
процессы.
Сложно быстро установить проблему,
проследить взаимосвязи и своевременно
отреагировать.

21. Splunk: «движок» для ИТ-данных
 Собирает, индексирует и объединяет динамичные данные всех физических,
виртуальных и облачных приложений, серверов и устройств;
 Обеспечивает возможность централизованного поиска и анализа данных в
режиме реального времени, а также архивных данных.
Не требует разборщиков, коннекторов, внешних СУБД,
предварительной обработки данных.
21

22. Результаты использования Splunk
Управление операциями и информационной инфраструктурой
 Splunk обнаруживает неисправности в сетях, серверах и хранилищах данных на
физическом, виртуальном или «облачном» уровне, анализируя поток данных в
режиме реального времени.
Безопасность и соблюдение законодательства
 Выявление и расследование инцидентов информационной безопасности;
 Демонстрация соответствия требованиям ИБ (собирает и сохраняет данные для
аудита, проверяет целостность файлов и каталогов).
Бизнес и веб-аналитика
 Splunk работает в режиме реального времени, обеспечивая сквозной
мониторинг транзакций, использования цифровых активов,
производительности сайта, анализ просмотренных страниц, содержимого
нереализованных заказов и т.д.
22

23. PaloAlto & Algosec
23
AlgoSec Suite интегрируется с МСЭ Palo Alto Networks для автоматизации
управления политикой безопасности приложений и пользователей, а
также управления изменениями.
AlgoSec обеспечивает отображение и
анализ сетевой топологии
AlgoSec выдает рекомендации по ужесточению
политики, основанной на использовании приложений.
AlgoSec представляет настраиваемый механизм визуализации процесса
изменений, который может быть адаптирован к каждой конкретной среде.

24. PaloAlto & Splunk
24
Приложение Splunk for Palo Alto Networks обрабатывает данные
МСЭ Palo Alto Networks и представляет обширные возможности
для тщательного расследования и визуализации, обеспечивая
детальную отчетность системы безопасности и инструмент
анализа безопасности.
Приложение Splunk for Palo Alto Networks
позволяет аналитикам безопасности,
администраторам, архитекторам соотнести
приложения и пользовательскую активность в
масштабах всей сети, обеспечивая безопасность
ИТ-инфраструктуры как в реальном времени, так и
в исторической перспективе. Сложный анализ
инцидента сейчас может быть завершен в сжатые
сроки, что позволяет ключевым специалистам по
безопасности сосредоточиться на важных,
чувствительных ко времени расследованиях.

25. Спасибо за внимание!
Контакты:
+7 (495) 221-21-41
Petr.Stelmakh@ARinteg.ru
25