Bezpieczne sieci z Juniper Networks

W ostatnich latach stale rośnie skala oraz złożoność cyberzagrożeń. Każdego dnia pojawiają się informacje o cyberatakach lub wycieku danych, który jest ich konsekwencją. Wydarzenia te stają się coraz bardziej medialne, co często jest dodatkową zachętą dla cyberprzestępców.  W obliczu coraz bardziej wyrafinowanych ataków klasyczne podejście do cyberbezpieczeństwa, w którym stosowane są brzegowe systemy ochrony (firewalle […]

W ostatnich latach stale rośnie skala oraz złożoność cyberzagrożeń. Każdego dnia pojawiają się informacje o cyberatakach lub wycieku danych, który jest ich konsekwencją. Wydarzenia te stają się coraz bardziej medialne, co często jest dodatkową zachętą dla cyberprzestępców. 

W obliczu coraz bardziej wyrafinowanych ataków klasyczne podejście do cyberbezpieczeństwa, w którym stosowane są brzegowe systemy ochrony (firewalle lub next generation firewalle) wraz z zabezpieczeniami stacji końcowych, przestało być wystarczające. Konieczne jest stosowanie kompleksowych oraz nowocześniejszych zabezpieczeń, które poza podstawową ochroną oferują rozbudowaną warstwą automatyzacji procesów oraz możliwość szybkiego reagowania na incydenty.

W odpowiedzi na te wyzwania firma Juniper Networks opracowała koncepcję Software Defined Secure Network (SDSN). Uwzględnia ona szereg rozwiązań, które zapewniają zautomatyzowane podejście do zabezpieczania infrastruktury IT i wymuszanie (enforcement) ochrony wszystkich elementów architektury sieciowej. Rozwiązanie to jest dostępne w ofercie firmy Nuvias – dystrybutora Juniper Networks w Polsce.

Ochrona w każdym punkcie

Kluczowym elementem rozwiązania SDSN jest oprogramowanie Security Director umożliwiające scentralizowane zarządzanie regułami firmowej polityki bezpieczeństwa, szczegółową analizę środowiska sieciowego oraz automatyzację procesów zapewniających reakcję na incydenty bezpieczeństwa. Security Director jest integrowany z firewallami Juniper SRX oraz usługą sandbox Juniper Networks Sky ATP dostępną w chmurze. Pobierane przez użytkowników pliki na bieżąco dostarczone są przez firewalle SRX do usługi Sky ATP w celu wielostopniowej analizy zawartości w celu identyfikacji potencjalnie ukrytego złośliwego oprogramowania. Urządzenia SRX, działając jako SSL Proxy, przekazują do inspekcji dane przesyłane protokołami HTTP, SMTP, IMAP w postaci zarówno nieszyfrowanej, jak i zaszyfrowanej (SSL).

W przypadku, gdy pobierany plik jest znanym zagrożeniem jego transfer jest zablokowany w firewallu SRX w czasie rzeczywistym. W przeciwnym przypadku, jego analiza w sandboxie może potrwać kilka minut. W takiej sytuacji ze względu na komfort użytkowników plik musi zostać dostarczony do odbiorcy wraz z potencjalnie szkodliwą zawartością. Ale nie są oni w tej sytuacji całkowicie pozbawieni ochrony. Natychmiast po zakończonej analizie w usłudze Sky ATP i rozpoznaniu nowego zagrożenia, Security Director dostosowuje reguły polityki bezpieczeństwa na firewallach serii SRX oraz filtry ruchu w przełącznikach Juniper serii EX lub QFX, co uniemożliwia rozprzestrzenianie się malware’u w sieci klienta. Wszystkie te akcje dzieją się automatycznie – zgodnie ze zdefiniowaną polityką – i nie ma konieczności ręcznego blokowania stacji.

Takie podejście daje użytkownikom skuteczne narzędzie do walki z nowoczesnym złośliwym oprogramowaniem, wykorzystującym równolegle wiele wektorów ataków, takim jak WannaCry. Tym jednym z najbardziej szkodliwych oraz inwazyjnych ransomware’em w historii zainfekowanych zostało ponad 200 tys. firm w 150 krajach. WannaCry dostawał się pierwotnie na komputery użytkowników w klasyczny sposób (phishing, watering hole) – najczęściej był pobierany z Internetu lub załączony do złośliwych e-maili. Po uruchomieniu ransomware WannaCry szyfrował pliki na komputerach ofiar oraz zaczynał rozprzestrzeniać się w sieci lokalnej w sposób typowy dla robaków internetowych. Wykorzystywał podatność dnia zerowego w protokole Samba (szeroko stosowanym w systemach Windows), która umożliwiała niekontrolowane rozprzestrzenianie się malware na komputery innych osób w przedsiębiorstwie. Straty poniesione globalnie w wyniku braku odpowiednich zabezpieczeń oraz braku kopii zapasowych w firmach liczone były w miliardach dolarów.

Zastosowanie rozwiązania SDSN może pomóc w powstrzymaniu tego rodzaju ataku co najmniej na kilka sposobów. Przy pobieraniu zainfekowanego pliku, zostałby on poddany analizie w sandboxie Sky ATP i zablokowany na firewallu Juniper SRX w czasie rzeczywistym. W przypadku gdyby malware był nieznany i dostałby się on na stację roboczą, po przeprowadzeniu analizy w sandboxie i rozpoznaniu złośliwej aktywności, stacja robocza zostałaby odizolowana na przełączniku i rozprzestrzenianie malware’u byłoby powstrzymane. Poniesione straty zostałyby ograniczone do minimum lub w ogóle by do nich nie doszło.

Rozwiązanie uniwersalne

SDSN współpracuje z większością produktów w portfolio Juniper Networks, ale można go też integrować zrozwiązaniami innych producentów w zakresie odbierania informacji o incydentach oraz wymuszania ochrony. Reguły polityki w oprogramowaniu Security Director mogą być automatycznie zmieniane na podstawie zdarzeń z systemów zabezpieczeń innych dostawców a także przełączników innych producentów (np. Cisco, HPE), mogą automatycznie izolować zainfekowane stacje robocze zgodnie z regułami zdefiniowanymi w Security Director. Jednym z kluczowych wymogów do zrealizowania takiej integracji jest zastosowanie uwierzytelnienia stacji roboczych protokołem 802.1X oraz wykorzystanie serwera RADIUS wymienionego na liście kompatybilności (m.in. Cisco ISE, HPE Aruba Clearpass).

Rozwiązanie Juniper SDSN jest systemem otwartym i elastycznym. Może z powodzeniem być wdrożone w istniejących już środowiskach sieciowych i nie wymaga wprowadzania rewolucyjnych zmian. Dzięki zastosowaniu SDSN zróżnicowana infrastruktura sieciowa może zostać objęta spójną polityką ochrony i zmienić się w aktywny element znacznie podnoszący poziom bezpieczeństwa w sieci. Architekturę SDSN uzupełniają rozwiązania do zarządzania incydentami bezpieczeństwa w infrastrukturze klienta (SIEM). Juniper Networks oferuje platformę Juniper Security Analytics (JSA), która m.in. umożliwia zbieranie logów z wielu rodzajów urządzeń sieciowych, ochronnych i serwerów, efektywną ich korelację, dzięki czemu pozwala na identyfikację potencjalnych incydentów bezpieczeństwa.

Juniper Networks stale pracuje nad poszerzeniem portfolio rozwiązań cyberbezpieczeństwa, co gwarantuje coraz bardziej zaawansowane podejście do problemów i wymagań klientów każdej wiekości. Przykładem dojrzałego oraz kompleksowego podejścia do zagadnień cyberbezpieczeństwa może być transakcja z ostatnich miesięcy, gdy producent kupił firmę Cyphort, jednego z liderów rynku rozwiązań typu sandbox w środowisku lokalnym.