`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Palo Alto: больше безопасности повсюду

+44
голоса

В рамках международного Road Show компании-производителя решений по кибербезопасности Palo Alto Networks совместно с BAKOTECH GROUP в Украине прошла конференция “A More Secure Everywhere”, посвященная упрощению и повышению уровня ИТ-безопасности на пути к цифровой трансформации бизнеса.

Формат конференции предусматривал основную сессию с докладами, интерактивные демонстрационные зоны от Palo Alto Networks и партнеров, где можно было познакомиться с реальными примерами внедрения и интеграции продуктов Palo Alto с решениями от F5, Tenable, IXIA, Digital Guardian. 

Конференция открылась кратким приветственным словом генерального директора Bakotech Евгения Бадаха, в котором он подчеркнул, что это первая в Украине конференция в рамках ежегодного Road Show компании Palo Alto, которые она проводит во всем мире. Он отметил большой интерес к этому мероприятию со стороны заказчиков и партнеров. Среди докладчиков – сотрудники Palo Alto, которые познакомят участников с продуктами и решениями компании. Он также добавил, что Palo Alto является очень интересной быстрорастущей компанией, бизнес которой в последние несколько лет увеличивался на 50% в год. И росла она не благодаря поглощению других компаний, а за счет успешной продажи своих продуктов. Еще недавно основные конкуренты, такие как Cisco и Check Point, значительно обгоняли Palo Alto по объему бизнеса в сегменте сетевой безопасности. Однако в позапрошлом году по объему продаж она обогнала Check Point, в прошлом – Cisco и стала лидером в этом сегменте.

 больше безопасности повсюду<

Евгений Бадах: «Это первая в Украине конференция в рамках ежегодных Road Show компании Palo Alto, которые она проводит во всем мире»

«Наша главная цель — это не допустить возникновения киберинцидента», - так начал свое выступление региональный менеджер по развитию бизнеса компании Али Фуат Туркай (Ali Fuat Turkay). Затем он выделил три основных проблемы кибербезопасности. Это дефицит достаточно квалифицированных кадров как в Украине, так и в мире; огромное количество технологий в сфере безопасности, которые нужно приобретать, изучать, интегрировать, и чрезмерные расходы на кибербезопасность. 

 

Во всех своих презентациях Palo Alto говорит о необходимости предотвращения атак в нашей ежедневной цифровой жизни. А эта жизнь для организаций усложняется. Сегодня практически никто не сидит за рабочим столом, у всех много персональных устройств, они все связаны между собой. Существуют также проблемы с соответствием законодательству о персональных данных и другими регламентирующими требованиями. 

С другой стороны, злоумышленники очень хорошо подготовлены, хорошо организованы, они используют такие технологии, как ИИ, разнообразные подходы к автоматизации. В то же время бизнес в Украине растет, и технологии должны поддержать этот рост. Как же это сделать?

Трудность в том, что возникает очень много проблематичных вопросов в разных секторах, либо на уровне правительств, либо на уровне банковской системы, инфраструктуры. Происходит ряд инцидентов безопасности, и это стоит огромных денег, репутаций и усилий.

 больше безопасности повсюду

Али Фуат Туркай: «Наша главная цель — это не допустить возникновения киберинцидента»

Как показывает опыт, большинство компаний строит систему безопасности с помощью точечных решений. Одной из проблем в этих случаях является ограниченная видимость. То, что не видно, нельзя контролировать. Вторая проблема – недостаточная интеграция. Устройства защиты работают сами по себе, как островки. Злоумышленники их могут легко обойти. Третьей проблемой является ручное управление устройствами безопасности, что не позволяет эффективно отвечать на автоматизированные атаки. Это не может так продолжаться, нужно изменить сам подход к кибербезопасности. Кибербезопасность, по мнению докладчика, не является технологической проблемой, это бизнес-задача, и она должна решаться на самом высоком уровне. Сегодня кибербезопасность стала частью бизнес-процессов. Это означает, что необходимы ИТ-инфраструктуры с нулевым доверием. В основе этой концепции лежат четыре принципа: (1) идентифицировать самую ценную информацию, сфокусироваться на ней и построить многоуровневую защиту; (2) спроектировать систему безопасности изнутри-наружу; (3) определить, кто или что нуждается в доступе, и (4) инспектировать и журналировать весь трафик.

Подход Palo Alto к безопасности заключается в обеспечении полной видимости, уменьшении поверхности атак, предотвращении известных угроз и готовность к отражению неизвестных. И этот подход нужно применять во всех структурах компании. Если хорошо защищен главный офис, но плохо филиалы, нет безопасности со стороны облака, то это не будет работать. Нужно иметь одинаковый уровень безопасности для всех подразделений организации. Это крайне важно.

Palo Alto является платформенной компанией и поставляет на рынок платформу. Она состоит из NGFW (брандмауэров следующего поколения), средств безопасности конечных точек, облачной безопасности и всех сопутствующих сервисов. Компания не продает только брандмауэры, не продает только защиту конечных точек, не продает только облачные сервисы. Она продает все это в совокупности, но клиенты могут начать с того, что им наиболее необходимо в данный момент, а затем наращивать защиту.

Компания является довольно консервативной в отношении вывода на рынок новых продуктов. Ее устройства имеют большой срок службы, и они все базируются на API, что обеспечивает стабильную и длительную эксплуатацию.

Если говорить о ЦОД, то у Palo Alto есть брандмауэры уровня ЦОД и виртуальные брандмауэры, которые могут использоваться в публичных и частных облаках. Но важно иметь в виду, что во всех сегментах обеспечивается одинаковый уровень безопасности и единое управление. Именно в этом ценность платформенного подхода.

 больше безопасности повсюду

Ибрагим Эскиоджак: «Главной особенностью сервиса AutoFocus является легкость, с которой можно найти важные события»

В 2019 г. Palo Alto намерена сделать следующий шаг, который компания называет каркасом приложений (application framework), намерена изменить способ, которым пользователи будут потреблять кибербезопасность, поскольку сегодня кибербезопасность, как она продается, имеет лицензию на один, два, три года на пользователя, трафик и т. п. Но теперь цель компании, начиная с 2019 г., это изменить.

Чем компания по-настоящему гордится, так это способностью ее продуктов к интеграции. Если заказчик покупает платформу безопасности Palo Alto, он решает все свои проблемы. И здесь основной особенностью, по словам докладчика, является наличие API. Именно способность к интеграции обеспечило компании масштабную партнерскую экосистему.

Unit 42 является командой Palo Alto по разведке угроз. Базируясь на ее отчете, старший системный инженер Ибрагим Эскиоджак (Ibrahim Eskiocak) представил тенденции в ИТ-безопасности и рассказал о новых типах атак.

Решение для предотвращения угроз на основе платформы является важным. Но эту платформу необходимо как-то построить. Это можно сделать, пользуясь сервисами Palo Alto, такими как WildFire, AutoFocus и MineMeld. Для обеспечения кибербезопасности организации должны быть гибкими, динамичными и иметь быструю реакцию. Все это достигается за счет автоматизации. Здесь важными этапами являются детектирование, исследование и ответ.

На стадии детектирования угрозы можно использовать сервис WildFire, который является глобальным и локальным облачным движком для анализа вредоносного кода. AutoFocus предназначен для расследования инцидентов, а MineMeld позволяет обмениваться информацией об угрозах с другими источниками, преобразуя ее в необходимый формат.

Сегодня очень трудно получить знания и опыт для того, чтобы защищаться от современных сложных атак. AutoFocus является хорошей отправной точкой, чтобы начать охоту за угрозами. Что же можно сделать с сервисом AutoFocus? Прежде всего для защиты необходимо найти уникальную и целевую информацию об атаке, чтобы быстро идентифицировать реальные риски. Далее, необходимо построить профиль атаки, откуда она поступает, как выглядит. Для этого нужно располагать более детализированной информацией для анализа. И последняя стадия – это построение превентивной защиты. Это основные стадии, которые можно обеспечить с помощью сервиса AutoFocus. Он также обладает базовыми возможностями для анализа вредоносного кода. Этот сервис также находится на верхушке разведки угроз, где он исполняет эту функцию. AutoFocus является хакером для пользователя, отслеживает информацию и создает некоторые теги для атак. Эта информация предоставляется сервисом AutoFocus.

Главной особенностью сервиса AutoFocus является легкость, с которой можно найти важные события. Ведь происходят миллионы событий, но неизвестно, какие из них важные. Также можно найти, кто стоит за атакой, получить информацию о команде, которая выполняет атаку, с какого IP-адреса, из какой страны и т. п. Можно определить IOC (Indicator of Compromise), для того чтобы дать ответ на платформе Palo Alto или с помощью других средств третьих производителей.

Затем выступающий привел некоторую декабрьскую статистику, предоставленную AutoFocus. Сервис располагает 6 млрд. сэмплов для быстрого поиска и анализа, 4,2 трлн. классифицированных атак, более 2,2 тыс. встроенных тэгов, относящихся к log-файлам, чтобы противостоять вредоносному коду, и другой информацией об атаках. С  AutoFocus интегрируются продукты безопасности более чем 200 производителей, которые могут обмениваться информацией с сервисом.

Что касается Украины, то здесь сгенерированная AutoFocus статистика следующая. Наиболее атакуемыми индустриями были оптовая торговля, сегмент высоких технологий, телекоммуникационные компании. Эти данные изменяются со временем, но это последние статистические данные за этот год. Наиболее распространенные приложения, на которые проводились атаки, то это FTP, SMTP и веб-браузеры. Это очень ценная информация, которую можно легко получить, и понять, где есть риски, куда инвестировать, и где необходимы дополнительные исследования.

Поскольку известно, что атаки выполняются автоматически, пытаются нацеливаться на заказчиков в каждой индустрии, компаниям действительно необходимо быть быстрыми и гибкими.

WildFire является другим сервисом, который можно также рассматривать как платформу, предоставляющую ценную информацию. WildFire не является только традиционным решением песочницы, он предоставляет больше информации, больше сервисов. WildFire может предоставить информацию о файле и выполнить статистический и динамический анализы, но имеет несколько других дополнительных способов проведения этих анализов, например, с помощью машинного обучения. На верхушке этого имеется анализ на «голом металле». Например, при анализе какого-нибудь выполнимого файла, который вызывает подозрение, можно загрузить его в компьютер, для того чтобы применить какие-нибудь оригинальные методы для выявления вредоносного кода. Динамическая распаковка также доступна в сервисе WildFire. Он подобен своего рода аналитику вредоносного кода с возможностями человека. Все продукты, которые выводит Palo Alto на рынок, способны получать информацию от WildFire.

Сегодня многие заказчики переносят свои ЦОД в облако. Но они нуждаются в высоком уровне безопасности, который им трудно достичь. Платформа Palo Alto будет обеспечивать им тот же уровень безопасности, что и для физического ЦОД. Именно платформенный подход является единственным способом для эффективного предотвращения атак.

 больше безопасности повсюду

Зекерия Эскиоджак: «Методы сегментации и микросегментации превращают ЦОД в ИТ-инфраструктуру с нулевым доверием»

Методы сегментации и микросегментации превращают ЦОД в ИТ-инфраструктуру с нулевым доверием (Zero Thrusted Infrastructure). О новом поколении этой технологии рассказал руководитель отдела системных инженеров Зекерия Эскиоджак (Zekeriya Eskiocak).

Прежде всего он подчеркнул необходимость полной видимости, поскольку без этого неизвестно, что нужно защищать. Далее, как уже упоминалось выше, необходимо уменьшить поверхность атаки, что позволит лучше ее контролировать. Для этого нужно свести к необходимому минимуму количество установленных приложений. Для защиты от известных угроз необходимы регулярные обновления, нужно видеть сигнатуры атак, чтобы определить ее тип, и откуда она пришла. Ну а для защиты от неизвестных угроз необходимо проводить динамический анализ. Нужно использовать машинное обучение, информацию от третьих сторон и т.п.

Это все дает нам контекст, и на основе этого контекста и данных по разведке угроз можно планировать какие-то действия. Только так можно построить реальную инфраструктуру безопасности.

Цель сегментации должна быть следующей. Необходимо понимать, кто пытается получить доступ, к чему пытаются получить доступ и как? Вот на эти вопросы нужно ответить.

Если сегментация делается в ЦОД, то нужно начать с сегментирования приложений, затем сегментировать ЦОД на основе бизнес-требований и далее сегментировать пользователей. Например, в сценарии контроля доступа пользователей можно указать, что отдел кадров имеет доступ к определенным приложениям на веб-сервере. Это можно организовать на основе ролей. В другом сценарии, скажем, доступ сервер—сервер, веб-сервер пытается получить доступ к серверу приложений. Однако полный доступ предоставлять опасно, поскольку если веб-сервер взломают, то злоумышленник может получить доступ к серверу приложений.

 больше безопасности повсюду

 

Требуемую сегментацию можно провести с помощью установки брандмауэров, например NGFW, между сегментами. Они позволяют изолировать взломанный сегмент от других ресурсов. Кроме этого, устройство предоставляет еще ряд полезных функций, как-то доступ только авторизованным пользователям, определяет, к каким приложениям разрешен доступ, позволяет провести микросегментацию на основе пользователей и устройств, административную микросегментацию.

Те же принципы можно применить и в облаке. Например, можно изолировать потоки север—юг и восток—запад. AWS, Azure и Google Cloud предоставляют различные возможности для перенаправления трафика восток—запад.

Palo Alto может предоставить единый центр управления всеми устройствами, политиками и ресурсами, включая частные и публичные облака.

В рамках конференции состоялась специальная сессия «Открытый микрофон», на которой каждый смог получить экспресс-ответы на вопросы из сферы ИБ от международных экспертов и коллег в зале.

 больше безопасности повсюду

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+44
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT