Actuellement, des changements sont en cours dans l'architecture des menaces et une forte augmentation du nombre et de la complexité des systèmes de sécurité et, bien sûr, il y a une évolution dans le développement des outils de sécurité, y compris les pare-feu.
Le pare-feu de nouvelle génération (NGFW) est une plate-forme intégrée qui combine ME classique et le routage avec les dernières idées de filtrage du trafic, telles que l'analyse du trafic Deep Packet Inspection (DPI), l'authentification des utilisateurs de toute façon, le système de prévention Intrusions Prevention System (IPS) intrusions, etc.
Dans cet article, je vais essayer de révéler les fonctionnalités de la classe NGFW en général et de la solution Sophos XG Firewall en particulier. Je vais vous parler de l'interaction entre le ME et le lieu de travail, identifier les utilisateurs à risque et mener un audit - toutes les techniques du complexe vous permettent d'automatiser la réponse à l'incident, réduisant ainsi considérablement le temps nécessaire pour le résoudre.
Table des matières
Pare-feu aujourd'hui
Pare-feu Sophos XG
Identification des risques cachés
Centre de contrôle
Contrôle d'application synchronisé
Top utilisateurs à risque
Un large éventail de rapports prêts à l'emploi
Bloquer les menaces inconnues
Gestion des règles unifiées
La gestion de la sécurité en un coup d'œil
Filtrage Web d'entreprise
Modèles de règles d'application métier et de règles NAT
Sandstorm Sandbox
Protection avancée contre les menaces
Réponse automatique aux incidents en 8 secondes
Battement de cœur de sécurité
Ajoutez le pare-feu XG à n'importe quel réseau - facile
Pare-feu aujourd'hui
Auparavant, les pare-feu fonctionnaient aux niveaux inférieurs de la pile du réseau, fournissant un routage de base ainsi qu'un filtrage de paquets basé sur des vérifications de port et de protocole pour rediriger ou supprimer le trafic. Ils étaient efficaces pour leur temps.
Comme les menaces sont passées des attaques directement au réseau pour infecter les systèmes internes, généralement par le biais de vulnérabilités dans les applications et les serveurs ou en utilisant l'ingénierie sociale, des solutions de protection du réseau doivent être développées pour résister à de nouveaux vecteurs d'attaque. Les organisations, qui doivent constamment ajouter et mettre à jour une flotte de dispositifs de sécurité réseau à leur périmètre réseau pour éviter les intrusions, le filtrage Web, l'anti-spam et le pare-feu d'applications Web (WAF), ont entraîné des coûts matériels et de temps. La nécessité de gérer une gamme de produits de sécurité réseau a conduit à la création de la gestion unifiée des menaces (UTM) - ces solutions ont permis aux organisations de tout combiner en un seul appareil.
La technologie du pare-feu a également évolué, remontant la pile au niveau 7 et supérieur afin d'être en mesure d'identifier et de contrôler le trafic provenant des applications. Les pare-feu ont également commencé à intégrer des technologies pour une meilleure compréhension du contenu des paquets réseau et la recherche de menaces. Ils ont eu la possibilité de classer et de gérer le trafic créé par l'utilisateur ou l'application et de ne pas se fier uniquement aux protocoles et aux ports. Cette transition a donné naissance à une nouvelle catégorie de sécurité réseau: les pare-feu de nouvelle génération de pare-feu de nouvelle génération (NGFW).
Le pare-feu de nouvelle génération combine des méthodes traditionnelles et une inspection approfondie des paquets, notamment la prévention des intrusions, les informations sur les applications, les stratégies utilisateur et la possibilité d'analyser le trafic chiffré.
La sécurité du réseau continue d'évoluer et de croître afin de contrer les menaces en constante évolution. Les menaces modernes telles que les ransomwares et les botnets sont plus avancées, insaisissables et ciblées que jamais. Ces menaces avancées (APT) utilisent des méthodes de jour zéro et sont extrêmement difficiles à détecter.
De nombreuses organisations à un moment «parfait» ont compromis les systèmes de leur réseau, devenant victimes de l'APT ou du botnet, et dans de nombreux cas, elles ne sont même pas au courant de ces infections. Malheureusement, c'est un problème répandu.
La nature des menaces actuelles et de l'infrastructure réseau moderne crée le besoin de changements fondamentaux dans l'approche de la sécurité du réseau:
- Les systèmes de sécurité réseau doivent aujourd'hui intégrer de nouvelles technologies pour détecter les comportements malveillants au sein du réseau de charge utile sans utiliser de signatures antivirus traditionnelles. Les technologies telles que le bac à sable, jusqu'à récemment, étaient des solutions que seules les grandes entreprises pouvaient se permettre, sont devenues accessibles aux petites et moyennes entreprises et font partie intégrante d'une protection efficace contre les logiciels malveillants modernes.
- Les systèmes de sécurité qui étaient autrefois isolés et indépendants, tels qu'un pare-feu et un antivirus, ont désormais besoin d'intégration et de collaboration pour détecter, identifier et répondre rapidement et efficacement aux menaces avancées avant de pouvoir causer des dommages importants.
- De nouvelles technologies de gestion dynamique des applications sont nécessaires pour identifier et gérer correctement les applications inconnues, compte tenu de l'inefficacité croissante des mécanismes de signature pour identifier les derniers protocoles d'application, applications utilisateur et applications utilisant les protocoles HTTP / HTTPS courants.
Pour aggraver les choses, la plupart des pare-feu modernes deviennent plus complexes, utilisant plusieurs solutions distinctes faiblement intégrées contre divers vecteurs de menace et respectant différentes exigences. En conséquence, la gestion d'un tel zoo de solutions est devenue très difficile, et la quantité d'informations et de données produites par ces systèmes est tout simplement énorme.
En fait, un récent examen de la satisfaction des administrateurs informatiques vis-à-vis des pare-feu (Firewall Satisfaction Survey of IT administrators) a révélé un certain nombre de problèmes courants avec la plupart des pare-feu utilisés aujourd'hui:
- Il faut beaucoup de temps pour obtenir les informations nécessaires.
- Un niveau acceptable de détection des menaces et des risques dans le réseau n'est pas fourni
- De nombreuses fonctions, mais trop difficiles à comprendre comment les utiliser
Pare-feu Sophos XG
Dès le début, Sophos XG Firewall a été conçu pour répondre aux défis actuels et émergents, ainsi que pour fournir une plate-forme qui s'adapte à l'évolution de l'architecture réseau. XG Firewall propose une nouvelle approche pour identifier les risques cachés, sécuriser le réseau, identifier et répondre aux menaces.
Le pare-feu XG offre une visibilité inégalée pour les utilisateurs à risque, les applications indésirables, les données suspectes et les menaces persistantes. Il dispose d'un ensemble complet de technologies modernes de protection contre les menaces et est en même temps facile à configurer et à entretenir. Contrairement à tout autre pare-feu avant, le pare-feu XG interagit avec d'autres systèmes de sécurité sur le réseau, ce qui lui permet de devenir efficacement un point de protection fiable, de dissuader les menaces, d'empêcher les logiciels malveillants de diffuser ou d'exfiltrer des données du réseau - automatiquement, en temps réel.
Le pare-feu Sophos XG présente trois avantages principaux par rapport aux autres pare-feu:
- Identification des risques cachés: XG Firewall fait un excellent travail d'identification des risques cachés à l'aide d'un tableau de bord visuel, d'une large sélection de rapports prêts à l'emploi et d'informations sur les risques uniques.
- Bloquez les menaces inconnues: XG Firewall bloque les menaces inconnues plus facilement et plus efficacement avec un ensemble complet de méthodes de protection contre les attaques avancées qui sont très faciles à configurer et à gérer.
- Réponse automatique aux incidents: le pare-feu XG avec sécurité synchronisée répond automatiquement aux incidents réseau grâce à la technologie Security Heartbeat.
Identification des risques cachés
Il est essentiel qu'un pare-feu moderne analyse les grandes quantités de données qu'il recueille, corrèle les données lorsque cela est possible et ne souligne que les plus importantes qui nécessitent une action - idéalement, avant qu'il ne soit trop tard.
Centre de contrôle
Le XG Firewall Management Center offre un niveau de visibilité sans précédent sur l'activité, les risques et les menaces sur votre réseau.
Il utilise des indicateurs de style «feux de circulation» pour attirer votre attention sur ce qui est vraiment important:
Si quelque chose est surligné en rouge, cela nécessite une attention immédiate. Si quelque chose est surligné en jaune, cela indique un problème potentiel. Si tout est vert, aucune autre action n'est requise. Chaque widget du Control Center offre des informations supplémentaires faciles à ouvrir en cliquant simplement sur ce widget. Par exemple, l'état des interfaces sur un appareil peut être facilement obtenu en cliquant simplement sur le widget «Interfaces» dans le Control Center.
L'hôte, l'utilisateur et la source de la menace avancée sont également faciles à identifier en cliquant simplement sur le widget ATP (protection avancée contre les menaces) dans le tableau de bord.
Les graphiques du système montrent également la bande passante sur une chronologie avec un choix de période, que vous ayez besoin de regarder les deux dernières heures ou le dernier mois ou l'année. Et ils fournissent un accès rapide aux outils de dépannage couramment utilisés.
La visualisation des journaux en temps réel est disponible sur chaque écran en un seul clic. Vous pouvez l'ouvrir dans une nouvelle fenêtre pour surveiller le journal correspondant tout en travaillant sur la console. Il se compose de deux onglets, un format de colonne simple basé sur le module de pare-feu, et fournit également une vue unifiée plus détaillée avec de larges options de filtrage et de tri, qui regroupe les journaux de l'ensemble du système en une seule vue en temps réel.
Si vous, comme la plupart des administrateurs réseau, vous vous demandez probablement, y a-t-il trop de règles, lesquelles sont vraiment nécessaires et lesquelles ne sont pas réellement utilisées? Avec Sophos XG Firewall, cela vous évitera de vous inquiéter.
Le widget Règles de pare-feu actif affiche les graphiques du flux de trafic traité en temps réel, triés par type de règle: application métier, règles utilisateur et réseau. Il affiche également les totaux actifs pour chaque règle et statut, y compris les règles inutilisées que vous pouvez supprimer. Comme dans d'autres zones du Control Center, cliquer sur l'une d'entre elles étendra le tableau des règles triées par type ou statut de la règle.
Contrôle d'application synchronisé
Aujourd'hui, le problème de la gestion des applications sur chaque pare-feu de nouvelle génération est que la majeure partie du trafic des applications n'est pas reconnue.
Ce problème a une raison simple: tous les mécanismes de contrôle des applications utilisent des signatures et des modèles pour identifier les applications. Et, comme vous pouvez vous y attendre, toute application de marketing personnalisée, comme les applications médicales ou financières, n'aura jamais de signatures, et certains types d'applications, tels que les clients bittorrent ou les applications VoIP et de messagerie, changent constamment de comportement et de signatures pour éviter détection et contrôle. De nombreuses applications utilisent le chiffrement pour éviter la détection, tandis que d'autres ont simplement recours à des connexions communes, comme un navigateur Web, pour communiquer via un pare-feu, car les ports 80 et 443 sont généralement déverrouillés sur la plupart d'entre eux.
Le résultat final est un manque total de visibilité des applications sur le réseau, et vous ne pouvez pas contrôler ce que vous ne voyez pas.
La solution à ce problème est très élégante et efficace: Synchronized Application Control , qui utilise la technologie unique Synchronized Security en conjonction avec les produits Sophos sur les terminaux.
Lorsque le pare-feu XG voit le trafic d'application qu'il ne peut pas identifier par signature, il peut demander au point de terminaison quelle application génère ce trafic. Ensuite, le logiciel du point de terminaison peut afficher le fichier exécutable, le chemin d'accès et, souvent, déterminer la catégorie de l'application et retransférer ces informations à XG. Ensuite, le pare-feu XG, dans la plupart des cas, peut utiliser ces informations pour classer et gérer automatiquement l'application.
Si le pare-feu XG ne peut pas déterminer automatiquement la catégorie appropriée pour l'application, l'administrateur peut définir la catégorie souhaitée ou attribuer une stratégie existante à l'application.
Après avoir classé l'application - qu'elle soit automatique ou par l'administrateur réseau - l'application est soumise aux mêmes politiques que toutes les autres applications de cette catégorie, ce qui facilite le blocage de toutes les applications non identifiées qui ne sont pas nécessaires et la priorité des applications nécessaires.
Le contrôle d'application synchronisé est une percée dans l'affichage et le contrôle des applications, offrant une clarté absolue de l'objectif pour toutes les applications qui fonctionnaient auparavant sur le réseau et qui n'étaient pas identifiées et non contrôlées.
Top utilisateurs à risque
Des études ont prouvé que les utilisateurs sont le maillon le plus faible de la chaîne de sécurité, et des modèles de comportement humain peuvent être utilisés pour prévoir et prévenir les attaques. De plus, les modèles d'utilisation peuvent aider à illustrer la manière dont les ressources de l'entreprise sont utilisées efficacement et la nécessité d'affiner les politiques des utilisateurs.
Le facteur de menace utilisateur (UTQ) aide l'administrateur de sécurité à identifier les utilisateurs qui présentent des risques en fonction d'un comportement Internet suspect et d'un historique de menaces et d'infections. Une évaluation à haut risque de l'UTQ d'un utilisateur peut être le signe d'une action involontaire en raison d'un manque de sensibilisation à la sécurité, d'une infection par un logiciel malveillant ou d'une action intentionnelle.
La connaissance des actions de l'utilisateur à l'origine du risque peut aider l'administrateur de la sécurité du réseau à prendre les mesures nécessaires et à éduquer ses utilisateurs avec des UTQ élevés ou à appliquer des politiques plus strictes ou plus appropriées pour contrôler leur comportement.
Un large éventail de rapports prêts à l'emploi
XG Firewall est un produit UTM unique qui fournit une sélection complète et large de rapports prêts à l'emploi sans frais supplémentaires. Bien sûr, une plate-forme de rapports Sophos iView centralisée et autonome est également proposée si vous avez besoin d'agréger des rapports de différents XG sur un serveur distinct. Sophos iView libère jusqu'à 100 Go de journaux. Mais la plupart des petites et moyennes entreprises apprécient la possibilité de recevoir des rapports sur l'appareil lui-même, sans le coût de systèmes de stockage supplémentaires.
Le pare-feu XG fournit un ensemble complet de rapports, organisés de manière pratique par type, avec plusieurs tableaux de bord intégrés parmi lesquels choisir. Il existe littéralement des centaines de rapports avec des paramètres personnalisables dans tous les domaines du pare-feu XG, y compris l'activité de trafic, la sécurité, les utilisateurs, les applications, le Web, les réseaux, les menaces, les VPN, les e-mails et la conformité aux exigences de l'industrie. Sur la base des résultats d'audit, vous pouvez facilement générer un rapport PDF sur l'état de sécurité de l'ensemble du réseau - Rapport d'audit de sécurité. Vous pouvez planifier des rapports périodiques par e-mail pour vous ou vos destinataires prévus et enregistrer les rapports au format HTML, PDF ou CSV.
Bloquer les menaces inconnues
La protection contre les dernières menaces réseau nécessite une large gamme de technologies qui fonctionnent ensemble et sont gérées par l'administrateur. Malheureusement, la plupart des produits ressemblent davantage à un «jeu de jonglage avec des couteaux à lancer», avec la définition de règles de pare-feu dans un domaine, la politique Web dans un autre, la vérification SSL ailleurs et le contrôle des applications dans une partie complètement différente du produit.
Sophos estime qu'il est urgent de disposer des technologies de sécurité les plus avancées, qu'elles devraient être faciles à configurer et à gérer, car une protection mal configurée est souvent pire que de ne pas l'avoir.
L'engagement envers la simplicité a toujours été un élément clé de Sophos. Mais plus important encore, Sophos est prêt à accepter les modifications et à prendre des mesures audacieuses pour fournir le meilleur niveau de protection et la meilleure interface utilisateur.
Gestion des règles unifiées
La gestion du pare-feu peut être incroyablement complexe. À ces fins, de nombreuses règles, politiques et paramètres de sécurité peuvent être créés et répartis dans différents domaines fonctionnels.
XG Firewall redéfinit complètement l'organisation des règles et la gestion des dispositions de sécurité. Au lieu de rechercher les bonnes stratégies sur la console de gestion, tout est assemblé dans un seul écran - les règles et les contrôles. Vous pouvez maintenant afficher, filtrer, rechercher, éditer, ajouter, modifier et organiser toutes les règles de pare-feu en un seul endroit.
Les règles pour les utilisateurs, les applications commerciales, le NAT et les réseaux facilitent la visualisation des seules politiques nécessaires, fournissant un écran pratique pour la gestion.
Les icônes d'indicateur fournissent des informations importantes sur les stratégies telles que le type, l'état, l'utilisation, etc.
La gestion de la sécurité en un coup d'œil
Le pare-feu XG simplifie la configuration et la gestion de la protection avancée en plaçant tous les paramètres sur un seul écran.
, SSL, , IPS, , -, , Heartbeat , NAT, , .
, , , , .
, , , Active Directory, eDirectory LDAP, NTLM, RADIUS, TACACS+, RSA, Captive Portal. Sophos Transparent Authentication Suite (STAS) , Microsoft Active Directory, , . SATC (Sophos Authentication For Thin Client), , XG — .
-
- , , , . - Sophos - -, SWG . , . , , — , . , XG , .
, Sophos , - — . , (, ) URL-, , , .
- , . , , , , . XG Firewall - -, , .
, , . , .
- .
- NAT
, - -, Exchange, SharePoint -, , . . - , . .
-, , , . , , , .
WAF , . . XG Firewall.
Sandstorm
, , , ( ). , , . , , Sophos Sandstorm, . , .
Sophos Sandstorm , , , - — . XG Firewall , , . , , .
Sophos Sandstorm XG Firewall Control Center , .
, XG Firewall Sophos Sandstorm , .
Advanced Threat Protection
Advanced Threat Protection , , . XG Firewall , - C&C. IPS, DNS URL-, , .
, . , XG Firewall Control Center . , , . Sophos Synchronized Security XG Firewall, , , .
8
.
Sophos XG Firewall — , . Sophos Security Heartbeat , .
XG Firewall , , . , .
Security Heartbeat
Sophos Security Heartbeat ( Synchronized Security) , https , . , , .
Security Heartbeat peut non seulement détecter instantanément la présence de menaces avancées, mais peut également être utilisé pour transmettre des informations importantes sur la nature de la menace, le système hôte et l'utilisateur. Et, peut-être plus important encore, Security Heartbeat peut également être utilisé pour prendre automatiquement des mesures pour isoler ou restreindre l'accès à un système compromis jusqu'à ce qu'il soit nettoyé. Il s'agit d'une technologie passionnante qui change la façon dont les solutions de sécurité de l'information fonctionnent et répondent aux menaces complexes.
Security Heartbeat s'exécute sur des postes de travail ou des serveurs. Le rythme cardiaque peut être dans l'un des trois états suivants:
Le statut Green Heartbeat indique que le lieu de travail est opérationnel et que l'accès à toutes les ressources réseau pertinentes sera autorisé.
Le statut Heartbeat jaune indique un avertissement indiquant que le système peut avoir une application potentiellement indésirable (PUA), ne répond pas aux exigences ou a tout autre problème. Vous pouvez choisir les ressources réseau autorisées à accéder aux systèmes dont le statut est jaune jusqu'à ce que le problème soit résolu.
Le statut Red Heartbeat indique un système qui est à risque d'infection avec des menaces avancées et peut essayer de contacter un botnet ou un serveur C&C. À l'aide des politiques de sécurité Heartbeat, vous pouvez facilement isoler les systèmes avec ce statut jusqu'à ce qu'ils soient nettoyés pour réduire le risque de perte de données ou de nouvelles infections.
Seul Sophos peut fournir une solution telle que Security Heartbeat, car seul Sophos est un leader des logiciels pour les terminaux et les solutions de sécurité réseau. Par exemple, vous pouvez voir les tests de NSS Labs Advanced Endpoint Protection, 2019:
- Indice de performance de sécurité n ° 1 et
- Note n ° 1 au meilleur prix
Ajoutez le pare-feu XG à n'importe quel réseau - facile
Le dernier matériel de la série XG offre un déploiement plus flexible avec des ports à ouverture sur tous les modèles 1U ainsi que sur les derniers appareils 2U du nouveau port FleXi. Les nouveaux ports permettent au pare-feu XG d'être installé en mode pont avec l'équipement existant, et si le pare-feu XG est éteint ou redémarré pour mettre à jour le micrologiciel, les ports permettront au trafic de continuer sans échec - contournement matériel. Cette fonctionnalité vous permet d'utiliser de nouveaux paramètres d'installation qui sont complètement sûrs et simples, sans remplacer l'infrastructure réseau existante. De plus, l'antivirus de nouvelle génération, Intercept X , fonctionne avec n'importe quel produit antivirus existant, vous permettant de déployer la solution Sophos Synchronized Security complète sur n'importe quel réseau sans rien remplacer.
C'est la sécurité simplifiée.
Cet article a été écrit à l'aide de Sophos XG Firewall Solution Brief .
Si la solution vous intéresse, vous pouvez nous contacter - société Factor Group , distributeur Sophos. Il suffit d'écrire gratuitement à sophos@fgts.ru .