IXIA ThreatArmor: особенности работы

IXIA ThreatArmor: особенности работы
Не рекламы ради (вендор мне, к сожалению, не доплачивает), но ознакомления с технологией для. 
И снова анализ решения, предлагаемого IXIA.

Есть устройство, которое топологически может быть установлено в двух местах корпоративной сети: на стыке с Интернет, и на входе в инфраструктуру ИБ с "внутренней" стороны. ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир).

Так выглядит картинка предлагаемой архитектуры.


Слева - корпоративная сеть, справа - Интернет.

name='more'>
Не будем в этой статье конкретизировать, что может входить в множество элементов "Existing Security Infrastructure". Там может присутствовать как один лишь firewall, так и другие компоненты, как IDS/IPS, SIEM, AntiDDoS и т. п.
Будучи установленным в разрыв, ThreatArmor блокирует трафик к/от IP-адресов, который он считает на 100% нелегитимным, либо на внешнем краю, до фильтрации на firewall (атаки из Интернет), либо с внутренней стороны, до начала инспектирования на средствах анализа трафика на наличие угроз (обращения зараженных узлов к C&C-центрам ботнетов, выход на фишинговые страницы и т.п.).

По сути, видов категоризации IP-адресов всего 2:

  • Географическая - используется для возможности блокировки ресурсов целых стран. 
  • Наличие вредоносов разного вида.

База IP-адресов категоризируется по странам, видам вредоносных воздействий и т. п. командой Application and Threat Intelligence (ATI) Team. Обновление происходит каждые 5 минут. При этом, по информации от вендора, ThreatArmor ничего не отправляет в облако, только получает данные. В отличие от остальных средств обеспечения ИБ, тюнинг нужен минимальный: блокируем или нет, и какие категории блокируем. В остальном полагаемся на точность ATI.
Итого, для корпоративного сегмента устройство позиционируется как:
  • Вспомогательное средство ИБ, понижающее "шум";
  • Оптимизатор ресурсов инфраструктуры и времени ИБ;
  • "Настроил и забыл".
Для сетей уровня сервис-провайдера, как правильно заметил на семинаре мой коллега Сергей Блинов, ценность решения потенциально заключается не в самом устройстве, а в: 
  • Подписке на обновляемые базы вредоносов, 
  • Возможности загнать перечень в ACL и по BGP Flowspec проанонсировать зануление по всей границе провайдерской сети;
  • Инкрементальных (дифференциальных) обновлениях, чтобы не перелопачивать каждый раз заново весь ACL;
  • Умении агрегировать списки в ACL вменяемых размеров, если это возможно в конкретном случае.
Последний фактор может, по сути, стать блокирующим для оператора из-за ограничений на количество строк и применимости агрегации к каждому случаю.

Описав возможные плюсы, нельзя не обратить внимание на минусы
Какие возможные риски в применении подобного решения может иметь корпоративная сеть, на мой взгляд:
  • Дополнительная точка отказа. Несмотря на наличие bypass, риск существует.
  • Полная зависимость от базы ATI. Риск блокировки лишнего трафика.
  • Ну и, конечно, недокументированные возможности (если есть, хотя это можно к любому решению писать как риск).
Итого, перед принятием решения о внедрении необходимо взвесить все факторы, применимо к своей корпоративной сети.



Alt text
История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed