Machine Learning для написания правил NGFW

Machine Learning для написания правил NGFW
Задача написания правил на межсетевом экране непростая, потому что правил много. Я встречал межсетевые экраны, где было 80 тысяч правил. Чтобы не ошибиться в добавлении новых правил применяются различные методы, но самое сложное - это исправлять текущие правила, поскольку ты должен изучить какие соединения были разрешены и не знаешь можно ли часть из них запретить, если тебе кажутся они нелегитимными. 

Я уже рассказывал про встроенный оптимизатор политик в NGFW, который позволяет узнать сколько разных приложений ходит по одному правилу и либо сузить этот список, либо создать несколько новых правил для "лишних" приложений. Это реально упрощает задачу по "снижению площади атаки" сервера, а точнее по снижению числа возможных методик обхода межсетевого экрана. 

Обычно в колонке Application администраторы пишут ANY, то есть они не хотят думать какие конкретно приложения нужны данному источнику. Ну и для справедливости надо сказать, что и в колонке Service также часто вижу ANY - либо никто не знал какой порт нужно открыть, либо открыли временно и забыли.

Существует утилита Expedition, которая позволяет сделать автоматический анализ журналов и правил и также автоматически проставить в колонку Application нужные приложения, которые там и так ходят и которые вы, наверняка, хотели сами вписать туда, но руки не дошли сделать это несколько тысяч раз. 

В интерфейсе это выглядит вот так. 
Видно, что в тех правилах, где стояло any и шли приложения L7, Expedition предлагает добавить эти приложения явно в правило. То же самое и если, уже были приложения, допустим ssl, и утилита видит в журнале, что там не все возможные варианты ssl, а конкретные совершенно сервисы, использующие ssl, то она разрешает именно эти. Или наоборот, вы разрешили больше приложений,  ходят не все - она предлагает удалить ненужные.

Автоматизация позволяет для всех ваших тысяч текущих правил межсетевого экрана просканировать журналы трафика, сопоставить с тем, какие правила какие приложения разрешили и автоматически создать новые, более точные правила.

В общем утилита чудесная. Она бесплатная и скачивается прямо с портала  


Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ksiva

Пусть будет утренний в честь того, что я его создал утром.