Bezpečnost sítí a připojení k internetu/cloudu

Základem bezpečnosti sítí je jejich architektura. Zavedení oddělené administrace a správně volená segmentace je dnes nutným opatřením při boji s tzv. " Pokročilými hrozbami". (Advanced Persistent Threaths). Tyto hrozby využívají k šíření samotný obsah legitimních aplikací. Proto je nutné pro eliminaci jejich šíření kontrolovat nejen přístup k síťovým prostředkům, ale pro jejich detekci využívat hloubkovou kontrolu komunikace a rozšířenou analýzu provozu.

Důležité je, aby prevetivní technologie jako jsou DDoS protektory, Next Generation Firewally, webové a mailové brány a síťové systémy prevence průniku (IPS) využívaly vzájemnou výměnu informací o zjištěné bezpečnostní situaci a dokázaly tyto informace vyměňovat se systémy na koncových zařízeních a s tzv. Globalní "Threat" Inteligencí. Pokročilou úrovní ochrany založené na moderních technologiích analýzy chování, umělé inteligenci a strojovém učení, je využití nástroje Sandbox.

DDoS Protector

Distribuovaný denial-of-service (DDoS) je rozsáhlý DoS útok, kdy útočník používá více než jednu IP adresu, často tisíce z nich, kterými útočí na své cíle. Cílem útoku je zaplavit oběť požadavky a zastavit tak dostupnost jeho služeb – webové, aplikační služby, útoku na DNS.

Anti-DDoS systémy poskytují ochranu před těmito síťovými hrozbami. Cílem je blokovat DDoS útoky založené na legitimním obsahu, ale špatném úmyslu. Ochrana před DoS útoky v sobě Integruje technologie, které využívají permanentní analýzy statistik o síťovém provozu na bázi datových toků a umělou inteligenci, která se z provozu sama učí.

Network IPS

Systém prevence narušení (IPS) je technologie pro zabezpečení síťového provozu a prevence před síťovými hrozbami. Neustále sledují síť, monitorují datové toky, identifikují možné incidenty a zaznamenávají informace o nich, zastavují útoky a oznamují je správcům zabezpečení.

IPS systémy pracují přímo na fyzické vrstvě sítě a kombinují celou řadu technologií pro detekci síťového nebo malware útoku. IPS systémy využívají k detekci statické signatury, sledují anomálie a chování v síťovém provozu, ale obsahují i DDoS senzory, detekci botnet chování, antivirovou kontrolu a další.

Cílem IPS systémů je detekovat nebo zastavit nežádoucí nebo nebezpečný provoz přímo na perimetru společnosti nebo důležitých segmentech sítě, kam patří například datová centra nebo kritické informační systémy.

Next Generation Firewall

Firewall je zařízení, které primárně zabezpečuje přístup do Internetu, popřípadě odděluje oblasti s jinou bezpečnostní úrovní. Hovoří se o tzv. "Next Generation" firewallech (NGFW) pro něž je charakteristický posun vnímaní od "Connection" kontroly směrem ke "Content- Base" kontrole.

Řízení přístupu není řízeno na úrovni IP adres, ale na úrovni uživatelů, aplikací a konkrétního obsahu. Intrusion Prevention System, nebo-li systém pro odhalení resp. prevenci průniku je bezpečnostní zařízení, které monitoruje síťový provoz a snaží se odhalit podezřelé aktivity, proti kterým následně aktivně zasahuje. IPS systémy jsou dnes často součástí Firewallů, ale ve větších instalacích se nasazují jako samostatná zařízení především z výkonnostního pohledu.

Komplexní ochranu perimetru pak zajišťují "Unified Threat Management" systémy (UTM). Ty kontrolují celou škálu aspektů provozu pomocí nástrojů zaměřených na funkcionality DLP, Anti-X a ochrany koncových stanic.

Mail Gateway

E-mail je stále komunikačním nástrojem číslo jedna pro většinu organizací. Proto kybernetičtí zločinci nejvíce používají emailovou komunikaci k proniknutí do sítě společnosti, krádeži nebo poškození dat a poškození pověsti společnosti. Způsoby útoku na e-mail jsou stále více cílené, sofistikovanější a nebezpečnější. V současné době se všechna odvětví potýkají s rostoucím počtem útoků typu phishing, škodlivými přílohami a útoky ransomware.

Zabezpečená e-mailová brána je nezbytná pro ochranu společnosti před škodlivým kódem obsaženým v e-mailech tím, že jim brání v přístupu k určenému příjemci. Emailová brána je schopna detekovat různé typy útoků, které se mohou emailem šířit, jako jsou viry a malware, spam, phishing. Nabízí ale i řadu dalších funkcí, jako je obsahová analýza, blokování nežádoucích příloh nebo nebezpečných URL odkazů. Zpravidla se jedná o fyzická zařízení umístěná na perimetru sítě, je ale možné využít i cloudové služby, popřípadě jejich kombinaci.

WEB Gateway

Webová komunikace je jeden z nejrozšířenějších způsobů, jak dnešní společnosti vyhledávají informace, prezentují se a publikují své služby. Web gateway je webová brána, které zabraňuje vstupu nezabezpečeného provozu přes webový protokol do vnitřní sítě organizace. Používá se k ochraně zaměstnanců / uživatelů před přístupem na nebezpečné webové stránky nebo napadením škodlivým webovým provozem.

Webové gateway využívají několik způsobů detekce nežádoucího nebo nebezpečného provozu. Ať je to detekce virů a malware, URL filtrace s kategorizací webových stránek, sledování nebezpečného nebo nevhodného obsahu, blokace webových aplikací nebo jejich komponent, kontrolu obsahu odchozích citlivých dat ze společnosti (DLP) a základní sandboxing.

Zpravidla se jedná o fyzická zařízení umístěná na perimetru sítě, je ale možné využít i cloudové služby, popřípadě jejich kombinaci. S klientem webové brány pak má uživatel kontrolu webového provozu kdekoliv.

Sandboxing

Sandboxing je technologie, která spouští aplikace a programy v odděleném samostatném prostředí tzv. sandboxu. Sandbox monitoruje běh programu a zjišťuje, zda se nejedná o malware nebo jiný škodlivý kód. Řešení využívá jak statických detekcí, kdy sleduje běh programu a monitoruje podezřelé aktivity, tak provádí dynamickou analýzu pomocí reverzního inženýrství, kde například hledá opožděný start, nebo skripty na detekci bezpečnostních nástrojů.

Sandbox se využívá hlavně ve spolupráci s dalšími bezpečnostními nástroji, jako jsou firewally, webové nebo emailové brány, IPS systémy nebo bezpečnostní SW na koncových zařízeních. Zpravidla tyto bezpečnostní zařízení a SW posílají podezřelé programy na Sandbox, který provede analýzu kódu a informuje o výsledku.

Pomocí sandbox technologie je často možné detekovat nebezpečný kód dříve, než ho dokáží detekovat standardní bezpečnostní nástroje jak na perimetru sítě, tak na koncových zařízeních.

Bezpečnost v cloudu (CASB)

Cloud Access Security Broker (CASB) je softwarový nástroj nebo služba, která je umístěna mezi infrastrukturou organizace a infrastrukturou poskytovatele cloudu. CASB umožňuje organizaci rozšířit dosah svých bezpečnostních politik mimo vlastní infrastrukturu až do cloudových služeb.

CASB zajišťuje, že síťový provoz mezi zařízeními v síti společnosti a poskytovatelem cloudu splňuje bezpečnostní zásady organizace, monitoruje cloudové aplikace při jejich používání, identifikuje rizikovost aplikací a uživatelů a dalších klíčové rizikové faktory. Na základě těchto informací je možné povolit nebo blokovat přístup na cloudové služby, nebo vynucovat řadu různých prvků zabezpečení od antimalware kontroly, šifrování a profilování zařízení až po ochranu dat a přístupu.

Technologie je nasazována buď na bráně, která monitoruje provoz ze sítě společnosti do cloudových služeb, nebo pomocí API v nejrozšířenějších cloudových službách, jako je O365, Salesforce a další.

Jednotné řízení přístupu do sítě

Zkratka AAA znamená zavedení tří hlavních procesů zajišťujících vysokou úroveň bezpečnosti přístupu do firemní sítě. Je to autentizaci, autorizace a accounting.

Autentizace pomocí standardu 802.1x, případně s využitím více faktoru ověření, zajištění autorizace a následné přidělení oprávnění k prostředkům a zdrojům, umožňuje správcům uchovat si přehled o zařízeních v síti a s pomocí napojení na SIEM vést evidenci bezpečnostních incidentů a událostí, které mohou pomoci odhalit hrozbu v samém počátku.

Vzdálený přístup, SD-WAN (VPN)

Softwarově definovaná síť (SD-WAN nebo SDWAN) je řešení, které se používá pro připojení WAN sítí přes širokopásmový internet, 4G, LTE nebo MPLS. Spojuje podnikové sítě napříč pobočkami i datovými centry na velké geografické vzdálenosti.

SD-WAN zjednodušuje správu WAN připojení, ať už na pobočce nebo cloudu. Poskytuje optimální výkon cloudových aplikací uživatelům, ať jsou kdekoli. V případě selhání spojení nebo degradace spojení může přesměrovat komunikaci přes další dostupné linky.

VPN je zkratka pro virtuální privátní síť (Virtual Private Network). VPN nejčastěji využívají zaměstnanci nebo partneři k zabezpečenému připojení do počítačové sítě společnosti pokud se nachází mimo ni (např. připojení z domova, z místa služební cesty apod.). Pomocí VPN lze získat přístup ke všem informačním zdrojům a službám, informačním databázím a aplikacím, které jsou dostupné pouze z vnitřní sítě společnosti.

Analýza síťového provozu (NBA)

Analýza chování sítě (NBA) je způsob, jak zvýšit bezpečnost sítě monitorováním provozu. NBA sleduje, co se děje uvnitř sítě, agreguje data z mnoha míst a zdrojů, zaznamenává neobvyklé aktivity nebo anomálie v běžném síťovém provozu, ze kterých je schopna zjistit nebezpečné chování.

Může také kontrolovat a vyhodnocovat změnu šířky pásma a protokolu, který se používá při komunikaci. To platí zejména při hledání potenciálně nebezpečného zdroje dat nebo webové stránky.

NBA může pomoci správci sítě minimalizovat čas a práci při hledání a řešení problémů. Může být použit jako doplnění ochrany poskytované firewallem sítě, systémem detekce narušení (IPS), antivirovým softwarem nebo programem detekce spywaru.