GREYCORTEX. МЕРЕЖЕВІ ПОЛІТИКИ: КОНТРОЛЬ ДОСТУПУ ТА ШИФРУВАННЯ

Для збереження видимості мережі та забезпечення відповідності вимогам, після сегментації та контролю ключових мережевих сервісів (Перша частина статті тут) маємо змогу змістити фокус на застосування політик поведінки користувачів та контролю протоколів шифрування. Контроль цих елементів мережі є важливими для зменшення внутрішніх ризиків та підтримання високого рівня захищеності мережевої інфраструктури.

GREYCORTEX Mendel забезпечує автоматизацію при обслуговуванні інфраструктури надаючи чітке уявлення про події, сповіщаючи про порушення політик та допомагаючи командам спеціалістів контролювати дотримання мережевих політик на практиці.

ПОЛІТИКИ ДОСТУПУ КОРИСТУВАЧІВ ТА ПОРУШЕННЯ ПОВЕДІНКОВИХ ПРАВИЛ

Навіть довірені користувачі та пристрої можуть становити ризик, якщо політики не застосовуються належним чином. Моніторинг дозволеного та забороненого трафіку допомагає виявляти невідповідність внутрішнім мережеми політикам, які інакше могли б залишитися непоміченими.

Контроль заборонених протоколів та додатків (RDP, TeamViewer, Dropbox, etc.) з Greycortex

Деякі організації, щоб знизити ризики та зберегти контроль над ІТ-середовищем, забороняють використання віддаленого доступу або застосунків обміну файлами. Відповідно використання несанкціонованих протоколів створює додаткові ризики, нові вектори атак та відкривають можливості віддаленої експлуатації вразливостей.

Аналізуючи мережевий трафік, Mendel виявляє використання несанкціонованих протоколів та застосунків. Мережеві аналітики можуть провести аналіз мережевих сесій на рівні мережевих протоколів (та інших характеристик трафіку), щоб підтвердити, чи відбулася комунікація по цим протоколам та чи була вона успішною, включи тривалість сесії, обсяг переданих даних, вміст комунікації, тощо. Це допомагає перевірити, чи відбувались порушенням мережевих політик, чи засоби контролю трафіку (NGFW) справляються з фільтрацією трафіку та коректність спрацювань політик NGFW. Також є можливість створити список винятків, щоб уникнути подальших сповіщень для тих елементів мережі, кому дозволені відповідні комунікації.

У нашому випадку Mendel виявив і позначив кілька пристроїв, які завантажили та використовували TeamViewer. Аналітики можуть перевірити, чи були ці хости авторизовані, і, якщо так, додати їхні IP-адреси до білого списку, щоб запобігти майбутнім сповіщенням.

В іншому прикладі Mendel зафіксував потенційну сесію RDP (Remote Desktop Protocol). Деталізуючи подію, аналітики можуть визначити залученого користувача та переглянути тривалість сесії.

Комунікація із забороненими хостами чи службами

Комунікації з певними хостами в інтернет, можливо з ІР з інших країн, IP-адреси з низьким рівнем репутації чи з чорного списку або несанкціоновані сервіси, часто обмежуються для зниження ризиків. Виявлення такого трафіку дозволяє виявити непомічені недоліки в політиках чи налаштуваннях NGFW, виявити шкідливі інструменти, які намагаються обійти засоби контролю.

Mendel виявляє та сповіщає про комунікації з IP-адресами з чорного списку. Використовуючи гнучкий механізм фільтрації даних про мережевий трафік, аналітики можуть перевіряти сесії за source чи destination IP, об'ємами переданих даних, кількістю переданих пакетів, тощо. Вкладка Network Analysis надає широкі можливості фільтрації та пошуку мережевих даних, що дозволяє спеціалістам проводити глибокі розслідування мережевих інцидентів.

Наприклад, Mendel зафіксував DNS-запит до TeamViewer, що походив від хоста mx.local (192.168.2.42). При детальному бачимо, що з’єднання було успішно встановлено, що може свідчити про порушення політики або несанкціонований віддалений доступ.

Mendel дозволяє мережевим аналітикам визначити, який користувач стоїть за підозрілим трафіком. Це допомагає перевірити, чи був доступ до заборонених хостів або додатків легітимним та чи було порушення мережевих політик.

Надмірні кількість сессій між вузлами

Деякі пристрої, такі як виробничі контролери чи телефонія (PBX), зазвичай взаємодіють лише з обмеженою кількістю вузлів. Нові або нетипові з’єднання можуть свідчити про помилки в конфігурації або несанкціоновану активність.

Mendel дозволяє аналітикам визначати ліміти кількості з’єднань для окремих хостів або цілих підмереж, допомагаючи забезпечити контроль та дотримання очікуваних об'ємів комунікацій.

Наприклад, якщо сервер PBX починає спілкуватися з більшою кількістю вузлів, ніж його відомі SIP-транки та внутрішні телефони, при цьому вхідний Інтернет-трафік обмежений, Mendel повідомить про таку активність для подальшої перевірки.

Несанкціонована комунікація з honeypot-системами

Системи Honeypot — це навмисно відкриті системи, призначені для виявлення підозрілої активності всередині мережі. Зазвичай із ними повинні взаємодіяти лише визначені системи, такі як адміністративні інструменти або сканери безпеки. Будь-яка інша спроба з’єднання може свідчити про бічний рух (lateral movement) або внутрішнє сканування.

Mendel дозволяє технічним спеціалістам визначати, які системи мають право комунікувати з honeypot, та сповіщає про несанкціоновані спроби.

У прикладі нижче лише керівний ПК має дозвіл на комунікацію з honeypot за адресою 192.168.2.36. Коли інший пристрій (192.168.2.28) ініціює з’єднання, Mendel генерує сповіщення.

Граф пірів підтверджує та візуалізує, що до honeypot отримували доступ як дозволені, так і несанкціоновані пристрої.

СТАНДАРТИ ШИФРУВАННЯ ТА ВИКОРИСТАННЯ TLS

Використання шифрування критичними для безпеки мережевої інфраструктури. Моніторинг валідності сертифікатів та версій протоколів допомагає виявляти недоліки в шифруванні трафіку ще до того, як воно стане вразливістю.

Прострочені TLS-сертифікати

TLS-сертифікати є критично важливою частиною довіреної комунікації. Якщо сертифікат прострочений, системи можуть відмовляти в підключенні, користувачі можуть бути піддані атакам через підроблені сервіси, або конфіденційні дані можуть передаватися без належного шифрування.

Mendel повідомляє вас, коли виявляються прострочені сертифікати або коли сертифікат наближається до дати закінчення терміну дії.

Наприклад, Mendel виявив один внутрішній сервер, який використовує сертифікат, термін дії якого закінчився в травні 2021 року.

В іншому випадку Mendel заздалегідь, за кілька днів, позначив наближення терміну дії сертифіката, даючи адміністраторам час вжити заходів до виникнення будь-яких перебоїв.

Застарілі версії TLS та набори шифрів

Застарілі версії TLS роблять зашифрований трафік вразливим. Регуляторні стандарти, такі як NIS2, закликають організації припинити використання версій TLS нижче 1.2, щоб зменшити площу атак та забезпечити сильного шифрування.

Mendel дозволяє налаштовувати сповіщення про використання застарілих версій TLS. Рекомендується використовувати TLS 1.2 або 1.3. Для цього зазвичай необхідне вимагає оновлення ОС, браузера чи клієнтського ПЗ.

Наприклад, одна із подій вказує, що пристрій досі комунікував, використовуючи TLSv1.0.

Строга інформаційна безпека потребує строгих доказів

Політики інформаційної безпеки виконують не лише роль зниження ризиків. Вони допомагають продемонструвати відповідність регуляторним вимогам, відповідальність перед клієнтами та власниками бізнесу. По мірі ускладнення вимог до СУІБ, наприклад як NIS2, підтвердження того, що внутрішні правила застосовуються послідовно, стає ключовим елементом сучасного управління кібербезпекою. Більше не достатньо налаштування політик на системах захисту та NGFW — потрібна прозорість та перевірювані докази.

Mendel допомагає організаціям, переходити від припущень до надійних доказів. Він постійно перевіряє, як політики безпеки застосовуються до мережевого трафіку — від шифрування та контролю доступу, до сегментації та використання протоколів, надаючи технічній команді видимість, необхідну для чітких і обґрунтованих дій.