Blog

Kako spojiti bezbednost i jednostavnost IT-a ?

Odgovor na pitanje iz naslova postoji – jako lako. Da krenemo od početka i sa realnim scenariom.

Većina firmi bez obzira na veličinu ima jedan isti izazov pred sobom: da na najbrži mogući način uoči pretnju, spreči negativno delovanje i očuva sopstvene resurse. U teoriji ovo deluje razumno i prihvatljivo, sve dok ne dođemo do prakse. Tu se stvar komplikuje, jer treba sinhronizovati sve alate i rešenja u jednu celinu.

Prvi veliki problem je redosled. Negde su prvo definisane security polise na AV nivou. Kasnije je dokupljen firewall. Negde drugde, redosled je bio obrnut. Upravo ove polise i njihova nepovezanost ostavljaju prolaz za savremene pretnje otvorenim, ali i višestruko procesuiranje jednog te istog saobraćaja – prosto rečeno rasipanje HW resursa.

Drugi veliki problem su višestruke tačke administracije. Konzole, portali, reporting –  svako rešenje za sebe. Izmena neke konfiguracije zahteva logovanje na minimum 2 nezavisne tačke, i manuelno usklađivanje izmena. Ovo se donekle može rešiti automatizacijom/scripting-om ali je daleko od pravog centralizovanog upravljanja. Pri tom koliko je pozdan i podržan ovaj vid upravljanja od strane svakog pojedinačnog rešenja? Kao i da li u kompaniji imate nekoga ko bi se bavio ovom delatnošću?

Treći problem je međupovezanost elemenata. Anti virus kao jedan entitet, firewall kao drugi (ovo mahom svi imaju pa nećemo širiti priču), a nikakve komunikacije između. Niti Antivirus zna da je Firewall isekao neki pokušaj povezivanja hosta ka malicioznoj lokaciji na internetu, niti firewall zna da je računar poslednji put skeniran pre 7 dana i da pola software-a nije up-to-date. Razmena ovih nazovimo “meta” informacija značila bi sledeće. Računar zahteva neki resurs na internetu (u ovom našem primeru maliciozan). Firewall pita AV da li je računar u skladu sa sigurnosnom polisom firme. Ukoliko nije, brani konekciju. Ukoliko jeste tek onda proverava gde je računar krenuo.

Četvrti problem su novi vektori napada. Kako se razvijaju security rešenja, tako se razvijaju i tehnike napada. Ukoliko nema vidljivosti na nivou celokupne infrastrukture, kako na lokaciji tako i u cloud-u, ne postoji ni mogućnost zaštite, jer “ono što ne vidiš ni ne poznaješ”. Oslanjanje na prepoznavanje po definicijama zastareva, AI/machine learning preuzima primat. Ali i ovaj trend nije dovoljan ako nemamo sve među-veze i jedinstven sistem analitike.

Peti problem nema interoperabilnosti među vendorima. Čak i da imate “top of the line” rešenja različitih vendora, veze među njima  su na jako niskom nivou ili ih uopšte nema.

Pa dobro, sve sami problemi a nigde se ne priča o rešenju?!

Jedno od najkompletnijih rešenja na ovu temu je Fortinet. Ceo ekosistem se temelji na FortiGate NGFW, oko kog gradite sopstveno bezbedno okruženje – Security Fabric.

FortiGate NGFW u sebi pored svih standardnih feature-a ima i uključenu licencu za SD-WAN. Dakle, što se upravljanja pristupom internetu tiče, u jednom rešenju dobijate praktično dva, i to bez dodatnih troškova. Ovo je “core” komponenta Security Fabric, tj obavezna je. Sami Fortigate uređaji dolaze u svim formama – desktop, rack mount, virtual pa se praktično mogu uklopiti u bilo koji budžet i scenario, a za uzvrat dobijate “enterprise grade” zaštitu. URL i DNS zaštita sprečavaju pristup neželjenim sajtovima, te pored sigurnosti smanjuju koriščenje internet linka. Application control prepoznaje lokalne kao i cloud aplikacije, te na primer možete dozvoliti korisnicima da sa Dropbox-a pregledaju u skidaju fajlove, ali ne i da vrše bilo kakav upload.   Nova, agresivnija cenovna politika obezbedila je dostupnost svim segmentima biznisa. Od SMB/SOHO pa sve do ISP okruženja.

FortiAnalyzer je appliance koji skuplja informacije od fabric member-a, pravi relacije, analizira i na kraju izveštava. Ovaj appliance je takođe “core” komponenta, i jako korisna konzola za pregled celokupne infrastrukture. Ukoliko želite da u svakom trenutku imate pregled svih relevantnih dešavanja na mreži, ovo rešenje sa dosta predefinisanih dashboard-a, reporta i view-a daje Plug-and-Play monitoring celokupne infrastrukture. Može da parsira logove ne samo sa uređaja iz Forti familije, već sa bilo kog uređaja koji ume da “priča” syslog jezik. Sa “Indicators of compromise” modulom, FortiAnalyzer podiže nivo prepoznavanja i smanjuje vreme detekcije drastično.

Pošto smo ispunili minimum zahteva za pokretanje Security Fabric okruženja, sada možemo spomenuti pristupnu mrežu. FortiSwitch i FortiAP su proizvodi iz secure access palete. Potpuno su integrisani u Security Fabric, i imaju dodatne security mogućnosti   i upravljaju se direktno iz FortiGate GUI-a. Dakle, umesto logovanja na firewall, switch, AP controller, ovo sve radite sa centralnog mesta – sa FortiGate-a.

FortiClient – Većina već zna za ovaj proizvod i  to prvenstveno kao Remote Access VPN client. Ono što i nije tako poznato je da sadrži i Web Filter, pa praktično neželjene kategorije ne blokirate na Fortigate-u, već na samom endpoint-u, čime smanjujete load na sam firewall. Bitan problem, koji većina firmi  pokušava da reši, je vidljivost radnih stanica. FortiClient u kombinaciji sa EMS serverom konektuje se na Active Directory (ovo nije neophodan preduslov) i vrši instant prepoznavanje svih radnih stanica. Kroz jednostavan web interface u par klikova primenite security template na grupe u okruženju. EMS server redovno dobija informacije o CVE ranjivostima kako operativnih sistema tako i software-a instaliranog na njima. Dashboard-i daju brz i lak pristup informacijama koji update-i nedostaju  i omogućavaju instant primenu sigurnosnih patch-eva. Drugi deo pregleda se odnosi na bezbednosne incidente, koji administratoru daje mogućnost da zaključa kompromitovani resurs, čime se sprečava mogućnost širenja opasnosti kroz mrežu.

Security Fabric Connectors – su konektori koji uključuju partnerske proizvode u Security Fabric ekosistem. Lista podržanih partnera se povećava iz dana u dan, a neki od najzvučnijih imena su Cisco, AWS, Kubernetes, Microsoft, Symantec i VMWare. Takođe, postoje i cloud brokeri koji integrišu vaše cloud okruženje u ovaj ekosistem.

U Forti familiji proizvoda postoji još dosta toga, ali da ne izgubimo fokus, nećemo se baviti namenskim rešenjima. Da damo precizan odgovor na navedene izazove:

Svi navedeni nedostatci i izazovi rešavaju se unutar Security Fabric eko sistema, i to tako što sve komponente međusobno razmenjuju informacije, svesne su međusobnog prisustva i rade dirigovano sa jednog mesta.

Ukoliko je ova priča interesantna, kontaktirajte nas kako bi smo vam prezentovali najbolje rešenje za vaše poslovanje. Još jedna dobra prilika, koju bez ikakve obaveze možete probati je nešto što mi zovemo “drugo mišljenje”. Dakle, ako već imate svoje security rešenje, a želite da vidite da li je ono svesno svega, možemo vam na zahtev dostaviti poseban FortGate koji će pasivno posmatrati saobraćaj u vašoj mreži, i posle probnog perioda dati izveštaj o pretnjama koje su se “provukle” pored vašeg postojećeg rešenja.

 

Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!