Не рекламы ради (вендор мне, к сожалению, не доплачивает), но ознакомления с технологией для.
И снова анализ решения, предлагаемого IXIA.
Есть устройство, которое топологически может быть установлено в двух местах корпоративной сети: на стыке с Интернет, и на входе в инфраструктуру ИБ с "внутренней" стороны. ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир).
Так выглядит картинка предлагаемой архитектуры.
Слева - корпоративная сеть, справа - Интернет.
name='more'>
Не будем в этой статье конкретизировать, что может входить в множество элементов "Existing Security Infrastructure". Там может присутствовать как один лишь firewall, так и другие компоненты, как IDS/IPS, SIEM, AntiDDoS и т. п.
Будучи установленным в разрыв, ThreatArmor блокирует трафик к/от IP-адресов, который он считает на 100% нелегитимным, либо на внешнем краю, до фильтрации на firewall (атаки из Интернет), либо с внутренней стороны, до начала инспектирования на средствах анализа трафика на наличие угроз (обращения зараженных узлов к C&C-центрам ботнетов, выход на фишинговые страницы и т.п.).
По сути, видов категоризации IP-адресов всего 2:
- Географическая - используется для возможности блокировки ресурсов целых стран.
- Наличие вредоносов разного вида.
База IP-адресов категоризируется по странам, видам вредоносных воздействий и т. п. командой Application and Threat Intelligence (ATI) Team. Обновление происходит каждые 5 минут. При этом, по информации от вендора, ThreatArmor ничего не отправляет в облако, только получает данные. В отличие от остальных средств обеспечения ИБ, тюнинг нужен минимальный: блокируем или нет, и какие категории блокируем. В остальном полагаемся на точность ATI.
Итого, для корпоративного сегмента устройство позиционируется как:
- Вспомогательное средство ИБ, понижающее "шум";
- Оптимизатор ресурсов инфраструктуры и времени ИБ;
- "Настроил и забыл".
Для сетей уровня сервис-провайдера, как правильно заметил на семинаре мой коллега Сергей Блинов, ценность решения потенциально заключается не в самом устройстве, а в:
- Подписке на обновляемые базы вредоносов,
- Возможности загнать перечень в ACL и по BGP Flowspec проанонсировать зануление по всей границе провайдерской сети;
- Инкрементальных (дифференциальных) обновлениях, чтобы не перелопачивать каждый раз заново весь ACL;
- Умении агрегировать списки в ACL вменяемых размеров, если это возможно в конкретном случае.
Последний фактор может, по сути, стать блокирующим для оператора из-за ограничений на количество строк и применимости агрегации к каждому случаю.
Описав возможные плюсы, нельзя не обратить внимание на минусы.
Какие возможные риски в применении подобного решения может иметь корпоративная сеть, на мой взгляд:
- Дополнительная точка отказа. Несмотря на наличие bypass, риск существует.
- Полная зависимость от базы ATI. Риск блокировки лишнего трафика.
- Ну и, конечно, недокументированные возможности (если есть, хотя это можно к любому решению писать как риск).
Итого, перед принятием решения о внедрении необходимо взвесить все факторы, применимо к своей корпоративной сети.
