Home » Blog » Gloster BLOG » Több mint tűzfal – IT biztonsági rendszer

Több mint tűzfal – IT biztonsági rendszer

Egy ideje már körülöttünk vannak az új generációs tűzfalak, melyek megbízható védelmi vonalat húznak a vállalati határvonal köré. Teljes potenciáljuk további megoldásokkal integrálva mutatkozik meg, írásunkban ezeket a lehetőségeket villantjuk fel.

Az új generációs tűzfalakról részletesen két évvel ezelőtti blogbejegyzésünkben már írtunk . A hagyományos Cisco ASA tűzfalakba 2014 végén költözött be a FirePOWER biztonsági eszköz, mely egyszerre behatolásérzékelő, tűzfal, alkalmazás- és URL-szűrő és kártevő elleni védelmet is tartalmaz. A szabályrendszerek betartatása (és a felhasználó operációs rendszere szerinti finomhangolása), az alkalmazáskontroll mellett az új generációs tűzfalak rendelkeznek APT és zero day támadások elleni védelemmel is. A FirePOWER-res ASA tűzfal rálát a felhasználó teljes infrastruktúrájára, a kezelőfelületen lehet figyelemmel kísérni a gyanús alkalmazásokat, fenyegetéseket és behatolási okokat.

A tűzfal munkáját egy online adatbázis segíti, melyet a több száz fős etikus hekkerből álló TALOS security intelligence csapata frissíti, az új szignatúrák akár 10 perc leforgása alatt világszerte minden saját eszközhöz eljutnak. A biztonsági eseményekről, a felhasználói szokásokról gyűjtött adatokat látványos grafikonok, ábrák segítségével teszi emészthetővé a döntéshozók számára – ettől nem lesz nagyobb a biztonsági szint cégünkben, viszont a nem IT-s kollégáink, felsővezetők is megértik, hogy mi is történik az informatikai hálózatban.

Kontroll felsőbb rétegekben

Egy másik korábbi blogbejegyzésben mutattuk be a Cisco Identity Service Engine (ISE) megoldásáról is, mely előre meghatározott szerepkörök szerint biztosít hálózati elérést a rá csatlakozó gépeknek – ahogy az egy azonosságot menedzselő, hálózati elérési és használati előírásokat készítő és betartó megoldáshoz illik.

És hogy miért ismételjük el mindezt? Mert ez a két megoldás nagyszerűen használható egyszerre is, vagyis az ASA tűzfal könnyedén integrálható az ISE megoldással – használatukkal kicsit nyugodtabban alszunk éjjel. Az ISE, az ASA tűzfallal és a hozzá relevánsan kapcsolódó Firepower megoldással a felsőbb rétegekben is kontrollálható a host/user elérés, monitorozni tudjuk a kapcsolatokat, kéréseket, a szervezethez nem kapcsolódó oldalak látogatottságát – mondja Lóczki Gábor, a Gloster Telekom szakértője.

Registry-ben nincs kutakodás

Itt azonban még nincs vége. Létezik egy harmadik termék is, a Cisco AMP for Endpoints, mely kifejezetten a rossz szándékú, engedély nélküli behatolás megelőzésére, a malware és a gyanús viselkedés kiszűrésére fejlesztettek ki. Az AMP minden egyes, számítógépen lévő fájlt megvizsgál és viselkedése szerint kategorizálja őket: jó, rossz vagy nem tudjuk. A kategóriák szerint beengedi vagy sem a fájlokat a számítógépre.

Ezek a kategóriák azonban gyorsan változhatnak. A megoldás folyamatosan figyeli, hogy az adott fájl mit művel a gépen. Például, ha a beengedett fájlt 10 perc elteltével a registry-ben kutakodik – holott rendeltetésszerűen nem kellene – akkor az AMP for Endpoints megállíthatja működését. Letiltja az adott fájlt, megnézi, hogy az eltelt 10 perc alatt hány számítógépre jutott be, azokat is izolálja – minderről persze jelentést küldhet a rendszergazdának. A fájlokat retrospektívan is meg tudja vizsgálni, vagyis visszateker az időben és megnézi, mit tevékenykedett a gépen – fejezte be Lóczki Gábor.

Rövid írásunkban csak felvillantottuk a lehetőségeket. Szeptember 20-21-én az ITBN konferencián leszünk jelen szakértői csapatunkkal, így, ha bővebb információra van szüksége IT biztonsági megoldásainkkal kapcsolatban, egy kávé mellett nyugodtan beszélhetünk!

Viktor