Como o Zyxel Cloud ajuda seu gateway local a refletir ameaças
Falando em segurança (e não apenas em TI), é costume assustar o consumidor.
“Aí vêm os hackers do mal e entram na rede. Portanto, é necessário, necessário, necessário ... e, em seguida, uma longa lista de tudo o que você precisa para comprar, configurar, pedir, conduzir e, o mais importante, alocar muito dinheiro para isso. ”
Histórias assustadoras sobre os misteriosos seqüestros de "bases de clientes" que causaram o colapso completo da empresa na Internet.
De fato, comprar o banco de dados de clientes de outra pessoa é apenas uma das maneiras adicionais de melhorar seus negócios, mas não é uma panacéia para receitas ruins. Ainda é necessário poder aproveitar esta oportunidade com benefícios para si mesmo.
Mas, ao mesmo tempo, existem ameaças reais que qualquer organização, qualquer pessoa pode enfrentar.
O que poderia acontecer?
Em primeiro lugar, qualquer invasão, mesmo que simplesmente desfigurando o site, é um golpe para a reputação. Há uma opinião bem fundamentada de que, se a infraestrutura de TI de uma organização é facilmente invadida por hackers e o gerenciamento "não dá ouvidos e não pisca os olhos" - então algo está errado com essa organização como um todo ... Com algumas ressalvas, algo semelhante pode ser dito sobre pessoas descuidadas que não pensam em problemas de segurança.
É especialmente desagradável quando, usando seu nome, pessoas estranhas procuram seus parceiros e tentam inventar suas más ações.
Porque quando o engano é revelado, não se suspeitam de alguns inimigos ocultos, mas antes de tudo você. O mais simples é culpar uma das partes afetadas pelo crime, cujo nome honesto foi usado.
Mesmo ao usar fontes oficiais de informação, há muitas oportunidades de fraude e, se um invasor obtém acesso a documentos, contas e assim por diante - aguarde problemas.
Em segundo lugar, violações no sistema de segurança são roubos comuns de dinheiro de contas (inclusive de cartões salariais de funcionários). Não há nada para comentar.
Em terceiro lugar, é uma simples tentativa de eliminar os concorrentes.
O exemplo com a cópia da base de clientes foi considerado acima.
Mas pode ser muito pior quando eles interceptam não fornecedores, mas fornecedores.
Porque pode haver muitos clientes e relacionamentos estabelecidos em suprimentos - às vezes "uma e duas vezes".
Evidentemente, a invasão externa está longe de ser o único perigo. Os funcionários ofendidos não podem causar menos danos do que intrusos externos. No entanto, a fraca proteção de rede pode fornecer assistência inestimável para “figuras” internas e externas em seus planos insidiosos.
Como a nuvem ajudará?
Em nosso mundo conturbado, o número de todos os tipos de mecanismos de defesa está crescendo e se reabastecendo proporcionalmente ao número de ameaças emergentes. Obviamente, para fornecer tudo isso, são necessárias mais e mais capacidades.
Como de costume, existem vários caminhos de implementação.
A opção mais simples é restringir-se a um gateway local.A essência dessa abordagem é executar todas as operações estritamente no dispositivo de segurança local - gateway, roteador, servidor e assim por diante.
Obviamente, ele terá que ser reforçado o tempo todo, incluindo a atualização do hardware. E um dia ele terá que ser substituído.
Figura 1. Proteção de rede local.Quando todo o equipamento de proteção está concentrado no dispositivo local, parece que qualquer insignificante está sob supervisão vigilante.
Como se vê, nem tudo está sob controle. O maior problema é que você não pode prever com precisão a ocorrência de novas ameaças e, portanto, não pode planejar o cronograma e os custos da atualização.
Encontrar equipamentos desatualizados que ainda não atendem aos novos requisitos é uma perspectiva muito realista.
E então surge outro ponto interessante - é necessário atualizar ou substituir todos os gateways (!) Na rede. Se 90% do equipamento estiver pronto para lidar com o aumento de carga e 10% não estiver pronto, isso significa que esse sistema de proteção simplesmente não está preparado para novas ameaças, independentemente da porcentagem.
E pode levar toda a proteção a recursos externos?Este modelo de proteção existe há muito tempo. Por exemplo, alguns provedores de serviços da Internet oferecem serviços de verificação de tráfego.
Figura 2. Proteção no lado do provedor de serviços da Internet.Com essa abordagem, há uma vantagem inegável: "deu e esqueceu" e, ao mesmo tempo, há muitas desvantagens: por exemplo, o preço, as ferramentas usadas e o nível de proteção, o desempenho geral do sistema ("a Internet começou a desacelerar repentinamente") podem não ser adequados para você e assim por diante.
E, graças a essa desvantagem, "dar e esquecer" não funciona. Temos que "dar" e algo mais para monitorar constantemente, escrever aplicativos, etc.
Mas o maior incômodo que às vezes surge é o mau gerenciamento de serviços externos. Suponha que o antivírus no gateway do provedor bloqueie o arquivo desejado e útil. Interação "por telefone" ou escrevendo cartas chorosas por e-mail: "Por favor, devolva o arquivo enviado para mim" - isso não é adequado para operação normal.
Consequentemente, o provedor deve fornecer uma ferramenta conveniente para o gerenciamento completo do serviço, que deve funcionar extremamente confiável. Mas o entendimento da "integridade", "conveniência" e "confiabilidade" do provedor de serviços e do consumidor pode diferir significativamente.
Pelo mesmo motivo, o uso de outros serviços "do provedor", por exemplo, bloqueando recursos indesejados, também pode não ser adequado para todos.
Mas, independentemente das comodidades fornecidas, a proteção da rede da organização do lado do fornecedor está de alguma forma nas mãos erradas e depende de muitos fatores, incluindo a integridade e as qualificações da pessoa em particular que fará isso.
E aqui vem uma ideia interessante:
“É possível deixar praticamente todo o conjunto de funções de proteção por conta própria, tendo dado as operações mais caras para o“ lado ”? E, ao mesmo tempo, livrar-se do notório “fator humano” automatizando todos os processos o máximo possível? ”
Solução em nuvem vem em socorroVamos tentar dividir nosso sistema de segurança em funções separadas, enquanto cada um deles é deixado no dispositivo local ou enviado para processamento em um recurso externo - na "nuvem".
Figura 3. Proteção com o não uso do suporte à nuvem.Por exemplo, uma verificação detalhada de um arquivo em busca de um componente malicioso requer recursos adicionais de hardware. Portanto, seria mais sensato enviar o arquivo suspeito para a "nuvem" para verificação.
Ao mesmo tempo, o resultado da verificação da "nuvem" pode ser salvo e reutilizado. Se a soma de verificação na próxima solicitação do mesmo arquivo corresponder, o veredicto será emitido sem o custo da verificação.
Observe: todos (!) Os controles necessários estão localizados no dispositivo local e, como se costuma dizer, estão sempre à mão. Somente processos de verificação automatizados são transferidos para a "nuvem". Vale ressaltar que todo o procedimento para essa interação foi verificado e elaborado várias vezes.
Além disso, o anonimato é maior do que quando verificado com o provedor. É assim: um arquivo e / ou parte de um arquivo entra na “nuvem” sem nenhum dado de identificação que seja “legível” do ponto de vista de uma pessoa. É usada uma cifra, pela qual o próprio sistema determina de onde esse arquivo veio e o que fazer com ele.
Com um sistema de verificação baseado em nuvem, o dispositivo local está sempre em contato com um serviço externo e obtém acesso às últimas assinaturas, algoritmos e outras ferramentas para proteger a rede.
Solução chave na mão - Zyxel ZyWALL ATP200 Firewall com serviços de segurança em nuvem
De fato, este é um dispositivo bastante simples do ponto de vista, que pode ser instalado e configurado por qualquer administrador do sistema.
Figura 4. Interface da Web para configurar o firewall do Zyxel ZyWALL ATP200 com serviços de segurança em nuvem.Considere alguns dos detalhes técnicos da solução de firewall Zyxel ZyWALL ATP200 em conjunto com o serviço de segurança em nuvem Zyxel Cloud.
O Zyxel Cloud Intelligence identifica arquivos desconhecidos em todos os firewalls do ZyWALL ATP usados em todo o mundo e armazena todas as informações sobre cada nova ameaça detectada.
Ele organiza os resultados no banco de dados de ameaças na nuvem e envia atualizações diárias para todas as atualizações do ATP.
A cada ataque, o banco de dados acumula informações cada vez mais úteis sobre ameaças em potencial, o que aumenta o nível de proteção, inclusive devido à capacidade de analisar o tráfego em busca de ameaças em potencial.
Assim, o
aprendizado de máquina da nuvem ocorre e o Zyxel Cloud se adapta constantemente a novos ataques.
Para aplicar esse conhecimento, juntamente com o Zyxel ZyWALL ATP200 em combinação com o Zyxel Cloud, é fornecido um conjunto completo de ferramentas poderosas, em particular a proteção de vários níveis, a proteção de várias camadas. Os seguintes serviços e recursos estão disponíveis:
- Bloqueador de Malware - além da proteção tradicional no modo antivírus de streaming, este módulo é sincronizado diariamente com o Cloud Threat Database, portanto, a proteção contra código malicioso no ATP não se limita apenas ao nível local, mas, devido à troca global através da nuvem, fornece proteção abrangente em nível global;
- Segurança de aplicativos - inclui recursos de patrulha de aplicativos e segurança de email que não apenas bloqueiam ataques cibernéticos, mas também fornecem controles personalizáveis para otimizar o tráfego de aplicativos e bloquear aplicativos indesejados;
- Prevenção contra intrusões (IDP) - realiza uma verificação aprofundada para bloquear pontos fracos na proteção do aplicativo e no uso desses pontos fracos de ataques, fornecendo segurança completa;
- O sandboxing é um ambiente isolado na nuvem onde arquivos suspeitos são colocados para identificar novos tipos de código malicioso, o que aprimora bastante a proteção contra ataques de dia zero;
- Web-Security - inclui as funções Filtro de botnet e Filtro de conteúdo que fornecem verificação de endereços URL e IP usando categorias de endereços sincronizados com a nuvem, que podem evoluir com o crescimento da base de nuvens;
- Geo Enforcer - pode restringir o acesso daqueles países onde as ameaças são mais frequentemente encontradas e descobrir o endereço geográfico do iniciador ou potencial vítima de um ataque convertendo os endereços IP do GeoIP em endereços físicos;
- SecuReporter - realiza uma análise abrangente de logs com correlação de dados e relatórios sobre parâmetros especificados pelo usuário. Essa é uma ferramenta necessária para os provedores de serviços.
Obviamente, em um pequeno artigo, você não pode descrever todos os muitos recursos úteis que apareceram no arsenal para proteger a rede graças ao Zyxel Cloud.
No próximo artigo sobre este tópico, falaremos mais detalhadamente sobre cada um dos métodos de proteção usados. Uma coisa é clara - no estágio inicial, as ferramentas comuns que não são da nuvem protegem bem o perímetro da rede, mas com o crescimento dos requisitos, os recursos da "nuvem" expandem significativamente as possibilidades em termos de segurança.
Fontes
[1]
Página do site da Zyxel no firewall
do Zyxel ZyWALL ATP200 com serviços de segurança baseados em nuvem.
[2]
Artigo “Construindo um sistema expandido de proteção antivírus para uma pequena empresa. Parte 3 ".