W obliczu coraz bardziej wyrafinowanych ataków klasyczne podejście do cyberbezpieczeństwa i stosowanie brzegowych systemów ochrony (firewalli lub next generation firewalli) wraz z zabezpieczeniami stacji końcowych przestało być wystarczające. Konieczne jest stosowanie kompleksowych oraz nowocześniejszych zabezpieczeń, które poza podstawową ochroną oferują rozbudowaną warstwę automatyzacji procesów oraz możliwość szybkiego reagowania na incydenty. 
W odpowiedzi na te wyzwania firma Juniper Networks opracowała koncepcję Software Defined Secure Network (SDSN). Uwzględnia ona wiele rozwiązań, które zapewniają zautomatyzowane zabezpieczanie infrastruktury IT i wymuszanie (enforcement) ochrony wszystkich elementów architektury sieciowej. Rozwiązanie to znajduje się w ofercie firmy Nuvias – dystrybutora Juniper  Networks w Polsce.

Ochrona w każdym punkcie

Kluczowym elementem rozwiązania SDSN jest oprogramowanie Security Director umożliwiające scentralizowane zarządzanie regułami firmowej polityki bezpieczeństwa, szczegółową analizę środowiska sieciowego oraz automatyzację procesów zapewniających reakcję na incydenty. Security Director jest integrowany z firewallami Juniper Networks SRX oraz usługą sandbox JuniperNetworks Sky ATP dostępną w chmurze. Pobierane przez użytkowników pliki na bieżąco dostarczane są przez firewalle SRX do usługi Sky ATP w celu wielostopniowej analizy zawartości, która ma służyć wykryciu oraz identyfikacji złośliwego oprogramowania. Urządzenia SRX, działając jako SSL Proxy, przekazują do inspekcji dane, przesyłane protokołami HTTP, SMTP i IMAP, w postaci zarówno nieszyfrowanej, jak i zaszyfrowanej (SSL).

W przypadku, gdy pobierany plik jest znanym zagrożeniem, jego transfer zostaje zablokowany w firewallu SRX w czasie rzeczywistym. W przeciwnym przypadku, jego analiza w sandboksie może potrwać kilka minut. W takiej sytuacji ze względu na komfort użytkowników plik musi zostać dostarczony do odbiorcy wraz z potencjalnie szkodliwą zawartością. Ale nie są oni w tej sytuacji całkowicie pozbawieni ochrony. Natychmiast po zakończonej analizie w usłudze Sky ATP i rozpoznaniu nowego zagrożenia Security Director zmienia reguły polityki bezpieczeństwa stosowane w firewallach serii SRX oraz filtry ruchu w przełącznikach Juniper Networks serii EX lub QFX, co uniemożliwia rozprzestrzenianie się malware’u w sieci klienta. Wszystkie te działania podejmowane są automatycznie – zgodnie ze zdefiniowaną polityką – i nie ma potrzeby ręcznego blokowania stacji.

Taka metoda działania daje użytkownikom skuteczne narzędzie do walki z nowoczesnym złośliwym oprogramowaniem, wykorzystującym równolegle wiele wektorów ataków, takich jak WannaCry. Tym ransomware’em, należącym do najbardziej szkodliwych oraz inwazyjnych w historii, zainfekowanych zostało ponad 200 tys. firm w 150 krajach. WannaCry dostawał się pierwotnie do komputerów użytkowników w klasyczny sposób (phishing, watering hole) – najczęściej był pobierany z Internetu lub załączony do phishingowych e-maili. Po uruchomieniu ransomware WannaCry szyfrował pliki na komputerach ofiar oraz zaczynał rozprzestrzeniać się w sieci lokalnej w sposób typowy dla robaków internetowych. Wykorzystywał podatność dnia zerowego w protokole Samba (szeroko stosowanym w systemach Windows), która umożliwiała niekontrolowane rozprzestrzenianie się malware’u na komputery innych osób w przedsiębiorstwie. Straty poniesione globalnie w wyniku braku odpowiednich zabezpieczeń oraz braku kopii zapasowych w firmach liczone były w miliardach dolarów.

Zastosowanie rozwiązania SDSN może pomóc w powstrzymaniu tego rodzaju ataku co najmniej na kilka sposobów. Zainfekowany plik podczas pobierania zostałby poddany analizie w sandboksie Sky ATP i zablokowany na firewallu Juniper Networks SRX w czasie rzeczywistym. W przypadku gdyby malware był nieznany, a dostałby się na stację roboczą, po przeprowadzeniu analizy w sandboxie i rozpoznaniu złośliwej aktywności stacja robocza zostałaby odizolowana na przełączniku, dzięki czemu powstrzymanoby rozprzestrzenianie malware’u. Poniesione straty zostałyby ograniczone do minimum lub w ogóle by do nich nie doszło.

Trzy pytania do…

Pawła Marciniaka, dyrektora polskiego oddziału Nuvias

CRN Jakiego typu klienci mogą być zainteresowani rozwiązaniem SDSN?
Paweł Marciniak Są to raczej firmy średnie, duże i bardzo duże, głównie ze względu na wysoki koszt tych rozwiązań. W naturalny sposób najczęściej systemami SDSN są zainteresowane przedsiębiorstwa z branży finansowej i przemysłowej, a także placówki użyteczności publicznej. Ważne jest, aby pracownicy ich działów IT mieli podstawową wiedzę na temat bezpieczeństwa oraz zarządzania zdarzeniami w sieci, bo to podstawa pracy z oprogramowaniem typu SIEM. Ale oczywiście mogą korzystać z eksperckiej wiedzy zewnętrznych podmiotów, np. integratorów, którzy dokonują danego wdrożenia.

CRN Jakimi cechami rozwiązania SDSN najbardziej interesują się klienci?
Paweł Marciniak Przede wszystkim doceniają kompleksowość podejścia do polityki bezpieczeństwa. Ważna dla nich jest możliwość integracji różnych elementów w ramach koncepcji SDSN – firewalli, przełączników, routerów i sandboksów. Dla wielu z nich kluczowa jest możliwość monitorowania środowiska sieciowego. Natomiast warto podkreślić, że jeszcze przed rozpoczęciem czynności sprzedażowych trzeba poświęcić wiele czasu klientom, aby pokazać im korzyści płynące ze stosowania tego typu rozwiązań.

CRN Na jakiego typu wsparcie mogą liczyć współpracujący z Nuvias integratorzy?
Paweł Marciniak Muszą zacząć od samodzielnego zarejestrowania się w programie partnerskim prowadzonym przez Juniper Networks. Kolejnym etapem jest przejście przez ścieżkę edukacyjną i zdobycie odpowiednich certyfikatów. W tym zakresie  jesteśmy pomocni my, jako dystrybutor – organizujemy webinaria oraz warsztaty techniczne, na  których demonstrujemy zasady budowania bezpiecznego środowiska. Podczas realizacji pierwszych projektów partnerzy mogą liczyć na pełną pomoc naszego inżyniera w projektowaniu danego rozwiązania i jego budowie. Czasami robimy spotkania dla kilku partnerów, ma wówczas miejsce  wymiana doświadczeń na temat problemów technicznych, z którymi spotkaliśmy się ostatnio u klientów.

 

 

Rozwiązanie uniwersalne

SDSN współpracuje z większością produktów w portfolio Juniper Networks, ale można go też integrować z rozwiązaniami innych producentów w celu odbierania informacji o incydentach oraz wymuszania ochrony. Reguły polityki w oprogramowaniu Security Director mogą być automatycznie zmieniane na podstawie zdarzeń z systemów zabezpieczeń innych dostawców, a także przełączników innych producentów (np. Cisco, HPE), mogą automatycznie izolować zainfekowane stacje robocze zgodnie z regułami zdefiniowanymi w Security Director. Jednym z kluczowych warunków zrealizowania takiej integracji jest zastosowanie uwierzytelnienia stacji roboczych protokołem 802.1X oraz wykorzystanie serwera RADIUS wymienionego na liście kompatybilnych urządzeń (m.in. Cisco ISE, HPE Aruba Clearpass). 

Juniper Networks SDSN jest systemem otwartym i elastycznym. Może z powodzeniem być wdrożony w istniejących już środowiskach sieciowych i nie wymaga wprowadzania rewolucyjnych zmian. Dzięki zastosowaniu SDSN zróżnicowana infrastruktura sieciowa może zostać objęta spójną polityką ochrony i zmienić się w aktywny element, znacznie podnoszący poziom bezpieczeństwa w sieci. Architekturę SDSN uzupełniają rozwiązania do zarządzania incydentami w infrastrukturze klienta (SIEM). Producent oferuje platformę Juniper Networks Security Analytics (JSA), która m.in. umożliwia zbieranie logów z wielu rodzajów urządzeń sieciowych, ochronnych i serwerów, efektywną ich korelację, dzięki czemu pozwala na identyfikację podejrzanych incydentów.

Juniper Networks stale pracuje nad poszerzeniem portfolio rozwiązań cyberbezpieczeństwa, co gwarantuje coraz bardziej zaawansowane metody ochrony zasobów, skuteczniejsze rozwiązywanie problemów i spełnianie wymagań klientów każdej wielkości. Przykładem dojrzałego, kompleksowego podejścia do zagadnień cyberbezpieczeństwa jest  transakcja z ostatnich miesięcy, gdy producent kupił firmę Cyphort, jednego z liderów rynku rozwiązań typu sandbox w środowisku lokalnym.

Dodatkowe informacje: Paweł Marciniak, 
dyrektor polskiego oddziału Nuvias,
pawel.marciniak@nuvias.com