Сетевая безопасность

Question 1

Firewall

Answer 1

NGFW (Next-Generation Firewall) —межсетевого экрана,
Основные сценарии использования NGFW:
- Защита корпоративных сетей от кибератак.
- Обеспечение безопасности удаленных сотрудников и филиалов.
- Защита облачных инфраструктур.
- Предотвращение утечек данных.
- Контроль и оптимизация использования сетевых ресурсов.

1. Глубокая фильтрация трафика - содержимое трафика на уровне приложений (Layer 7), позволяет блокировать вредоносные действия, скрытые в легитимных протоколах.
2. Контроль приложений NGFW позволяет контролировать использование приложений в сети, например, блокировать или ограничивать доступ к социальным сетям, мессенджерам или другим ресурсам. Это особенно полезно для соблюдения корпоративных политик и повышения производительности сотрудников.
3. Анализ пользователей и устройств - NGFW может идентифицировать пользователей и устройства в сети, что позволяет применять политики безопасности на основе ролей (Role-Based Access Control).
   помогает предотвратить несанкционированный доступ к ресурсам.
   Шифрование и защита данных
   • NGFW поддерживает анализ зашифрованного трафика (например, HTTPS) для выявления угроз, скрытых в зашифрованных соединениях.
     Поддержка облачных и гибридных сред
   • Современные NGFW могут работать как в локальных сетях, так и в облачных средах, обеспечивая защиту гибридной инфраструктуры.
     Виды:
     Packet filtering firewall — фильтрует входящий и исходящий трафик на основании IP-адресов, портов и протоколов.
     Stateful firewall — позволяет отслеживать состояние сетевого соединения между отправителем и получателем.
     Application level firewall — работает на прикладном уровне и контролирует приложения, обменивающиеся данными через сеть.
     Next-generation firewall — дополнительно использует технологии IPS/IDS, DLP, VPN, SSL и другие.
     DNS Firewall - о решение для обеспечения сетевой безопасности, которое блокирует пользователям и системам доступ к вредоносным веб-сайтам. В рамках системы DNS он проверяет каждый IP-адрес, чтобы определить, является ли он опасным. В зависимости от результатов проверки веб-страница либо отображается, либо нет.

Question 2

CDN

Answer 2

Content Delivery Network - это географически распределённая сетевая инфраструктура, которая обеспечивает быструю доставку контента пользователям веб-сервисов и сайтов

Question 3

SWG

Answer 3

Security Web Gateway это решение, предназначенное для мониторинга и управления входящим и исходящим веб-трафиком с целью предотвращения вредоносной активности и обеспечения соблюдения корпоративной политики.
SWG обычно реализуются как прокси-серверы и размещаются между пользователями и выходом в Интернет. Функции SWG: фильтрация URL и кеширование веб-контента, защита от вредоносного ПО, контроль приложений и доступа пользователей. SWG могут быть развернуты как аппаратные устройства, программные решения или в виде облачных сервисов. SWG часто интегрируются с системами IDS/IPS, антивирусными решениями, межсетевыми экранами и DLP

Question 4

UTM

Answer 4

Unified Threat Management комплексное решение, интегрирующее несколько функций безопасности в одном устройстве или программном пакете. Основные функции UTM – файрвол, IDS и IPS. Дополнительные функции UTM – шлюзовой антивирус, ALF, DPI, SWG, фильтрация трафика, фильтрация спама и контента, DLP, SIEM, VPN, контроль доступа к сети, tarpit (“смоляная яма”), защита от DoS/DDoS, атак нулевого дня и т. д.

Question 5

WAAP

Answer 5

Web Application and API Protection- класс решений, предназначенных для обеспечения безопасности веб-приложений и API. Он включает в себя функции традиционного WAF и расширяет их за счет дополнительных защитных мер. В отличие от традиционных WAF, WAAP обеспечивает более комплексную защиту, включая защиту API, облачные сервисы и расширенные функции анализа угроз. WAAP может быть реализован в виде облачных сервисов, аппаратных решений или интегрированных платформ. WAAP часто интегрируется с системами IDS/IPS и SIEM.

Question 6

WAF

Answer 6

WAF (Web Application Firewall) Сетевая безопасность– это файрвол прикладного уровня (ALF), предназначенный для защиты веб-приложений и API (прикладных программных интерфейсов) от различных видов атак, таких как XSS (межсайтовый скриптинг), SQL-инъекции, CSRF (межсайтовая подделка запроса) и т.д. Разновидности WAF: аппаратные, облачные и виртуальные. WAF располагается перед веб-приложениями на пути запросов к ним и часто интегрируются с системами IDS/IPS, CMS и SIEM. Первые WAF были разработаны компаниями Perfecto Technologies, Kavado и Gilian Technologies в конце 90-х годов. В 2002 году был создан проект с открытым исходным кодом ModSecurity, который сделал технологию WAF более доступной. Решения WAF активно развиваются.

Question 7

NTA

Answer 7

NTA (Network Traffic Analysis) — это технология анализа сетевого трафика, предназначенная для мониторинга, обнаружения и реагирования на угрозы в сети.
Она использует методы машинного обучения, поведенческий анализ и другие современные подходы для выявления аномалий и потенциальных кибератак.
Сценарии использования NTA
* Корпоративные сети: Защита от внутренних и внешних угроз.
* ЦОДы и облачные среды: Мониторинг трафика в сложных инфраструктурах.
* Критически важные объекты: Защита промышленных сетей (OT) и IoT-устройств.
* Расследование инцидентов: Поиск и анализ причин кибератак

Обнаружение угроз в реальном времени
NTA анализирует сетевой трафик для выявления подозрительной активности, такой как:
 Атаки на уровне сети (DDoS, сканирование портов, brute force).
 Вредоносное ПО (ботнеты, трояны, ransomware).
 Аномальное поведение устройств или пользователей.

1. Поведенческий анализ
   o NTA строит базовую модель “нормального” поведения сети (baseline) и выявляет отклонения от нее.
   o Например, если устройство начинает отправлять необычно большой объем данных, это может указывать на утечку информации или активность вредоносного ПО.
2. Расследование инцидентов
   o NTA предоставляет подробную информацию о сетевых событиях, что помогает аналитикам расследовать инциденты безопасности.
   o Это включает данные о том, какие устройства взаимодействовали, какие протоколы использовались и какие данные передавались.
3. Обнаружение скрытых угроз
   o NTA способен выявлять угрозы, которые могут быть пропущены традиционными средствами защиты, такими как фаерволы или антивирусы.
   o Например, атаки, использующие легитимные протоколы или зашифрованный трафик.
4. Мониторинг зашифрованного трафика
   o Современные NTA-решения могут анализировать зашифрованный трафик (например, HTTPS) без необходимости его расшифровки, используя метаданные и поведенческие признаки.
5. Поддержка Zero Trust Architecture
   o NTA помогает внедрять принципы Zero Trust, отслеживая все взаимодействия между устройствами и пользователями в сети.

Как работает NTA?
1. Сбор данных
o NTA собирает данные о сетевом трафике с помощью:
 Потоков сетевых данных (NetFlow, sFlow, IPFIX).
 Пакетного анализа (Packet Capture).
 Логов сетевых устройств.
2. Анализ данных
o Используются методы машинного обучения, статистический анализ и сигнатурные методы для выявления аномалий.

3. Оповещения и реагирование
   o При обнаружении угроз система генерирует оповещения и может интегрироваться с другими системами безопасности (например, SIEM, SOAR) для автоматизации реагирования.

Преимущества NTA
* Раннее обнаружение угроз: Позволяет выявлять атаки на ранних стадиях.
* Видимость сети: Обеспечивает полную прозрачность сетевой активности.
* Адаптивность: Способен обнаруживать новые и неизвестные угрозы.
* Интеграция: Легко интегрируется с другими системами безопасности.

Question 8

DLP

Answer 8

DLP (Data Loss Prevention)
Ключевая цель DLP Предотвращение утечек данных, минимизация рисков и обеспечение соответствия нормативным требованиям.
Преимущества DLP:
Защита от внутренних угроз.
Соответствие нормативным требованиям.
Повышение осведомленности сотрудников.
Централизованное управление данными.

Основные функции DLP:
1.Защита данных:
Контроль за sensitive data (персональные данные, финансовая информация, коммерческая тайна).
2. Соблюдение нормативных требований:
PCI DSS и других регуляторов.
Мониторинг каналов передачи:
Электронная почта, мессенджеры, USB, облачные сервисы.
4. Блокировка утечек:
Автоматическая блокировка попыток передачи конфиденциальных данных.
5. Классификация данных:
Разделение данных по уровням конфиденциальности (публичные, конфиденциальные, строго конфиденциальные).
Как работает DLP:
1. Обнаружение данных:
Контентный анализ, цифровые отпечатки, метки конфиденциальности.
2. Мониторинг и контроль:
Отслеживание сетевого трафика, устройств, облачных сервисов.
3. Применение политик:
Разрешение, блокировка или уведомление о передаче данных.
4. Отчеты и аналитика:
Подробные отчеты для расследования инцидентов.
Типы DLP:
1. Сетевые DLP:
Контроль передачи данных через сеть (email, вебтрафик).
2. Endpoint DLP:
Защита данных на устройствах (USB, печать).
3. Облачные DLP:
Интеграция с облачными сервисами (Office 365, Google Workspace).