Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации

1. СИСТЕМА ВИЗУАЛИЗАЦИИ И АНАЛИЗА РИСКОВ СЕТЕВОЙ БЕЗОПАСНОСТИ REDSEAL
Роман Ванерке
Руководитель отдела технических решений
ЗАО «ДиалогНаука»

2. Содержание
•Обзор системы визуализации и анализа рисков RedSeal
•Практическая демонстрация системы:
–Демонстрация построения карты сети на примере распределенной сети
–Демонстрация анализа рисков
•Заключение
2

3. Актуальные вопросы
3
Получение актуальной топологии сетевой инфраструктуры
Сложность в выявлении уязвимостей, связанных с архитектурой сети
Сложность приоритезации выявленных уязвимостей без привязки к топологии сети и значимости информационных активов
Отсутствие автоматизированного аудита конфигураций межсетевых экранов
Сложность в расследовании инцидентов информационной безопасности

4. ОБЕСПЕЧЕНИЕ СЕТЕВОЙ БЕЗОПАСНОСТИ В 2014
4

5. Сетевая безопасность
5
Ваша
сеть
Вещи, которые вы знаете
Вещи, которые вы не знаете
Вещи, которые вы должны знать

6. Сетевая безопасность 2014
6
Вещи, которые вы знаете
Нехватка квалифицированных кадров
Частичное соответствие требованиям
Ограничения бюджета
Возрастающие требования регуляторов
Больше возможностей для атак
Сложность сети
Непрекращающиеся атаки

7. Сетевая безопасность 2014
7
Вещи, которые вы не знаете
Насколько эффективны применяемые СЗИ?
Насколько точна оценка рисков?
Какие изменения в доступе наиболее опасны?
Степень соответствия требованиям?
Какие уязвимости действительно опасны?
Есть ли «темные» места в сети?

8. Сетевая безопасность 2014
8
Как устранить риск до атаки
Как эффективно приоритезировать уязвимости
Как быстро оценить последствия после атаки
Как автоматизировать соответствие требованиям
Какова реальная картина рисков сетевой безопасности?
ВЕЩИ, КОТОРЫЕ НУЖНО ЗНАТЬ
Какой появляется риск после внесения изменений

9. 9
Вещи, которые вы знаете
Вещи, которые вы не знаете
ВЕЩИ, КОТОРЫЕ НУЖНО ЗНАТЬ
We help large enterprises and government agencies master their network security risk

10. Возможности RedSeal
10
Firewall
Critical Resources
DMZ
Firewall
Finance
Определение уязвимостей, доступных для эксплуатации
Уменьшение возможностей атаки Leapfrog / Pivot
Определение политики доступа мобильных устройств
Приоритезация уязвимостей на узлах для устранения
Определение степени компрометации при проведении расследований
Минимизация доступа к критичным ресурсам
Выполнение Device Best Practice Checks (BPC’s)
Анализ правил межсетевых экранов
«Темные» места в сети
Контроль доступа DMZ
IT Operations & Security Operations Center

11. Как это работает
11
1. Выполняется сбор конфигураций МЭ, роутеров, коммутаторов и балансировщиков, развернутых в сети, как непосредственно с устройства, так и через CMDB
2. Используя проприетарные алгоритмы выполняется анализ конфигурационных файлов для построения виртуальной модели сети
3. Выполняются проверки Best Practice Checks (BPC) к конфигурациям для выявления эксплуатационных уязвимостей
4. Также может быть загружена в систему информация об уязвимостях узлов сети, определение уязвимостей, эксплуатация которых возможна как непосредственно из недоверенной сети, так и требующих компрометацию промежуточных узлов
5. Симуляция атаки позволяет оценить, какие уязвимости могут быть про эксплуатированы при открытии доступа, позволяет администраторам приоритезировать задачи

12. Архитектура RedSeal
Сетевые устройства
(маршрутизаторы, межсетевые
экраны, балансировщики)
Платформа RedSeal
Сканеры безопасности
Системы управления
Отчеты
Оповещения
Отправка событий об инцидентах в SIEM

13. Архитектура RedSeal
13
Платформа RedSeal 6
Сбор конфигураций устройств
Библиотека угроз
Механизмы корреляции конфигурации и рисков
Карта топологии сети
Анализ конфигурации устройств
Моделирование угроз
Управление изменениями
Архитектура анализа и управления политиками
Постоянный мониторинг
Визуализация сети и рисков
Метрики
Правила и конфигурации МЭ
Конфигурации маршрутизаторов
Конфигурации баланс. нагрузки
Конфигурации точек доступа
Данные по уязвимостям узлов
Интеграция SIEM
Workflow
GRC

14. Построение модели сети
14
•Построение топологии сети путем считывания конфигураций устройств
•Считывание конфигураций из файлов или путем подключения к устройствам по сети
•Выявление «невидимых» ранее сегментов корпоративной сети
•Возможность экспорта карты сети в Visio и другие форматы

15. Пример модели сети
15

16. Контроль доступа на уровне сети
16
•Определение доступности узлов
-«К чему можно получить доступ из сети Интернет?»
-«Кто может получить доступ к АБС?»
•Проверка корректности разграничения доступа
-“Можно ли из недоверенной сети получить доступ к сегменту с критичными серверами?”

17. Анализ конфигурационных файлов
17
Отсутствие правил фильтрации DNS
Floodguard Disabled
Наличие TELNET
Наличие TELNET
Пароль администратора по умолчанию
Наличие сервиса HTTP
Наличие доступа SNMP Write
Отсутствие правила «Stealth Rule»
Анализ правил фильтрации МЭ:
•Выявление ненужных правил
-Избыточные
-Неработоспособные
-Неактивные
•Выявление неиспользуемых правил
-Анализ времени последнего применения
-Анализ частоты использования
•Более 120+ проверок конфигураций устройств с целью выявления уязвимостей
•Возможность создания собственных проверок

18. Визуализация возможных векторов атаки
18
Моделирование возможных векторов атаки на основе данных об уязвимостях и топологии сети
Определение многошаговых угроз, для реализации которых требуется компрометация промежуточных узлов сети

19. Приоритезация уязвимостей
•Ранжирование уязвимостей исходя из их достижимости для потенциального злоумышленника
•Приоритезация на основе значимости ИТ-активов
•Возможность импорта результатов сканирования
–MaxPatrol (Xspider), Symantec, eEye, McAfee VME, Nessus, Rapid 7, Qualys, NMAP
19

20. Контроль соответствия заданным политикам
20
•Мониторинг политик разграничения доступа в сети
•Наличие встроенных проверок для выполнения требований PCI DSS
•Развитые средств для определения собственных политик (например, разграничение доступа между филиалом и головным офисом)
•Реагирование на факты нарушения заданных политик: - Визуализация - Оповещения по email - Отчеты - Отправка событий в SIEM

21. Моделирование изменений в сети
21
•Автоматическое определение изменений, которые необходимо внести в конфигурацию сети для предоставления/блокирования доступа к сегментам сети
-Все устройства в пути доступа
-Устройства,блокирующие/разрешающие доступ
-Правила/ACL, блокирующие /разрешающие доступ
•Оценка рисков, связанных с вносимыми изменениями в конфигурацию сети
-Информация о появляющихся уязвимостях
-Отображение возможных векторов атак

22. Построение отчетов
•Общие отчеты и показатели
–Результаты работы системы
–Выявление имеющихся нарушений политик безопасности
–Ключевые риски сетевой безопасности
•Отчеты для управления рисками ИБ
–Контроль доступа и оценка соответствия
–Управление уязвимостями
–Конфигурации по лучшим практикам
•Управление отчетами
–Экспорт в PDF и другие форматы
–Возможность создания собственных отчетов
22

23. Интеграция с SIEM-системами
•Возможность автоматической отправки в систему мониторинга (SIEM) информации о выявленных инцидентах безопасности:
–Нарушение политики разграничения доступа
–Несанкционированные изменения в конфигурации сетевого оборудования и межсетевых экранов
–Выявление уязвимостей в настройках сетевых устройств
•Интеграциями с решениями HP ArcSight, Symantec, McAfee SIEM и Cisco Security Manager
23

24. Особенности поставки и эксплуатации
•Возможна поставка в виде программного обеспечения, либо образа виртуальной машины VMware
•Комплекс работает в пассивном режиме не влияя на работоспособность сети
•Масштабируемость решения
24

25. Клиенты компании
25
Технологические компании
Ритейл
Финансовые организации
Правительственные организации
Телекоммуникации

26. Ключевые возможности
•Автоматическое построение модели сети (сетевой топологии)
•Оценка настроек сетевых устройств и межсетевых экранов с точки зрения соответствия лучшим практикам и стандартам информационной безопасности
•Оценка эффективности используемых правил фильтрации межсетевых экранов (выявление неиспользуемых, избыточных или ошибочных правил)
•Автоматическое построение векторов возможных атак на основе текущей сетевой топологии, имеющихся сетевых средств защиты и актуальных уязвимостях
•Автоматическое выделение наиболее приоритетных уязвимостей, устранение которых приведёт к устранению наиболее опасных векторов атак
•Отслеживания изменений в настройках сетевого оборудования и сетевых средств защиты
•Выявление нарушений политики разграничения доступа на уровне сети
27

27. Вопросы?
117105, г. Москва, ул. Нагатинская, д.1, стр.1
Телефон: +7 (495) 980-67-76 доб. 162
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: rv@DialogNauka.ru
28