Проверка сетевых политик: как контролировать доступ и шифрование с помощью GREYCORTEX Mendel

Для сохранения видимости сети и обеспечения соответствия требованиям, после сегментации и контроля ключевых сетевых сервисов мы имеем возможность сместить фокус на применение политик поведения пользователей и контроль протоколов шифрования. Контроль этих элементов сети важен для уменьшения внутренних рисков и поддержания высокого уровня защищенности сетевой инфраструктуры.

GREYCORTEX Mendel обеспечивает автоматизацию при обслуживании инфраструктуры, предоставляя четкое представление о событиях, оповещая о нарушениях политик и помогая командам специалистов контролировать соблюдение сетевых политик на практике.

Политики доступа пользователей и нарушения поведенческих правил

Даже доверенные пользователи и устройства могут представлять риск, если политики не применяются должным образом. Мониторинг разрешенного и запрещенного трафика помогает выявлять несоответствие внутренним сетевым политикам, которые иначе могли бы остаться незамеченными.

Запрещенные протоколы и приложения

Некоторые организации, чтобы снизить риски и сохранить контроль над ИТ-средой, запрещают использование удаленного доступа или приложений для обмена файлами. Соответственно, использование несанкционированных протоколов создает дополнительные риски, новые векторы атак и открывает возможности для удаленной эксплуатации уязвимостей.

Анализируя сетевой трафик, Mendel обнаруживает использование несанкционированных протоколов и приложений. Сетевые аналитики могут провести анализ сетевых сессий на уровне сетевых протоколов и других характеристик трафика, чтобы подтвердить, происходила ли коммуникация по этим протоколам и была ли она успешной, включая длительность сессии, объем переданных данных, содержимое коммуникации и т. д. Это помогает проверить, происходили ли нарушения сетевых политик, справляются ли средства контроля трафика (NGFW) с фильтрацией трафика, а также корректность срабатывания политик NGFW. Также есть возможность создать список исключений, чтобы избежать дальнейших оповещений для тех элементов сети, которым разрешены соответствующие коммуникации.

В нашем случае Mendel обнаружил и пометил несколько устройств, которые загрузили и использовали TeamViewer. Аналитики могут проверить, были ли эти хосты авторизованы, и, если да, добавить их IP-адреса в белый список, чтобы предотвратить будущие оповещения.

РИСУНОК 1: Обнаружение загрузки и использования TeamViewer устройствами в интерфейсе Mendel

В другом примере Mendel зафиксировал потенциальную сессию RDP (Remote Desktop Protocol). Детализируя событие, аналитики могут определить вовлеченного пользователя и просмотреть длительность сессии.

РИСУНОК 2: Детализация потенциальной сессии RDP в интерфейсе Mendel

РИСУНОК 3: Просмотр длительности зафиксированной RDP-сессии в Mendel

Коммуникация с запрещенными хостами или службами

Коммуникации с определенными хостами в интернет, возможно с IP из других стран, IP-адресами с низким уровнем репутации или из черного списка, либо с несанкционированными сервисами, часто ограничиваются для снижения рисков. Обнаружение такого трафика позволяет выявить незамеченные недостатки в политиках или настройках систем управления трафиком, а также обнаружить вредоносные инструменты, пытающиеся обойти средства контроля.

Mendel обнаруживает и оповещает о коммуникациях с IP-адресами из черного списка. Используя гибкий механизм фильтрации данных о сетевом трафике, аналитики могут проверять сессии по source или destination IP, объемам переданных данных, количеству переданных пакетов и т. д. Вкладка Network Analysis предоставляет широкие возможности фильтрации и поиска сетевых данных, что позволяет специалистам проводить глубокие расследования сетевых инцидентов.

Например, Mendel зафиксировал DNS-запрос к TeamViewer, исходящий от хоста mx.local (192.168.2.42). При детализации видно, что соединение было успешно установлено, что может свидетельствовать о нарушении политики или несанкционированном удаленном достве.

РИСУНОК 4: Граф соединения хоста mx.local с запрещенными ресурсами

Mendel позволяет сетевым аналитикам определить, какой пользователь стоит за подозрительным трафиком. Это помогает проверить, был ли доступ к запрещенным хостам или приложениям легитимным и было ли это нарушением сетевых политик.

РИСУНОК 5: Карточка идентификации пользователя в интерфейсе Mendel

Избыточное количество сессий между узлами

Некоторые устройства, такие как производственные контроллеры или телефония (PBX), обычно взаимодействуют лишь с ограниченным количеством узлов. Новые или нетипичные соединения могут свидетельствовать об ошибках в конфигурации или несанкционированной активности.

Mendel позволяет аналитикам определять лимиты количества соединений для отдельных хостов или целых подсетей, помогая обеспечить контроль и соблюдение ожидаемых объемов коммуникаций. Например, если сервер PBX начинает общаться с большим количеством узлов, чем его известные SIP-транки и внутренние телефоны, при этом входящий интернет-трафик ограничен, Mendel сообщит о такой активности для дальнейшей проверки.

РИСУНОК 6: Настройка лимитов соединений для подсетей и отдельных хостов в Mendel

Несанкционированная коммуникация с honeypot-системами

Системы Honeypot — это намеренно открытые системы, предназначенные для обнаружения подозрительной активности внутри сети. Обычно с ними должны взаимодействовать только определенные системы, такие как административные инструменты или сканеры безопасности. Любая другая попытка соединения может свидетельствовать о боковом перемещении (lateral movement) или внутреннем сканировании.

Mendel позволяет техническим специалистам определять, какие системы имеют право коммуницировать с honeypot, и оповещает о несанкционированных попытках. В примере ниже только управляющий ПК имеет разрешение на коммуникацию с honeypot по адресу 192.168.2.36. Когда другое устройство (192.168.2.28) инициирует соединение, Mendel генерирует оповещение.

РИСУНОК 7: Событие несанкционированного подключения к системе Honeypot в Mendel

Граф пиров подтверждает и визуализирует, что к honeypot получали доступ как разрешенные, так и несанкционированные устройства.

РИСУНОК 8: Визуализация графа пиров взаимодействия устройств с honeypot

Стандарты шифрования и использование TLS

Использование шифрования критически важно для безопасности сетевой инфраструктуры. Мониторинг валидности сертификатов и версий протоколов помогает выявлять недостатки в шифровании трафика еще до того, как они станут уязвимостью.

Просроченные TLS-сертификаты

TLS-сертификаты являются критически важной частью доверенной коммуникации. Если сертификат просрочен, системы могут отказывать в подключении, пользователи могут подвергнуться атакам через поддельные сервисы, либо конфиденциальные данные могут передаваться без надлежащего шифрования.

Mendel сообщает вам, когда обнаруживаются просроченные сертификаты или когда сертификат приближается к дате окончания срока действия. Например, Mendel обнаружил один внутренний сервер, использующий сертификат, срок действия которого истек в мае 2021 года.

РИСУНОК 9: Оповещение об использовании сертификата, срок действия которого истек

РИСУНОК 10: Детальный анализ параметров просроченного TLS-сертификата

В другом случае Mendel заранее, за несколько дней, отметил приближение срока действия сертификата, давая администраторам время принять меры до возникновения каких-либо перебоев.

РИСУНОК 11: Предупреждение в Mendel о приближении даты окончания действия сертификата

РИСУНОК 12: Техническая информация по сертификату, который скоро завершит действие

Устаревшие версии TLS и наборы шифров

Устаревшие версии TLS делают зашифрованный трафик уязвимым. Регуляторные стандарты, такие как NIS2, призывают организации прекратить использование версий TLS ниже 1.2, чтобы уменьшить площадь атак и обеспечить сильное шифрование.

Mendel позволяет настраивать оповещения об использовании устаревших версий TLS. Рекомендуется использовать TLS 1.2 или 1.3. Для этого обычно требуется обновление ОС, браузера или клиентского ПО. Например, одно из событий указывает, что устройство до сих пор коммуницировало, используя TLSv1.0.

РИСУНОК 13: Событие обнаружения трафика TLSv1.0 в системе Mendel

РИСУНОК 14: Просмотр параметров сессии с устаревшим протоколом TLSv1.0

Информационная безопасность требует четкого соответствия

Политики информационной безопасности выполняют не только роль снижения рисков. Они помогают продемонстрировать соответствие регуляторным требованиям, ответственность перед клиентами и владельцами бизнеса. По мере усложнения требований к СМИБ, например таких как NIS2, подтверждение того, что внутренние правила применяются последовательно, становится ключевым элементом современного управления кибербезопасностью. Более не достаточно настройки политик на системах защиты и NGFW — нужна прозрачность и проверяемые доказательства.

Mendel помогает организациям переходить от предположений к надежным доказательствам. Он постоянно проверяет, как политики безопасности применяются к сетевому трафику — от шифрования и контроля доступа до сегментации и использования протоколов, предоставляя технической команде видимость, необходимую для четких и обоснованных действий.

Компания Softprom — официальный дистрибьютор GREYCORTEX — обладает глубокой технической экспертизой и оказывает квалифицированную помощь при внедрении проектов. Наши эксперты сопровождают клиента на каждом этапе интеграции, обеспечивая корректную настройку систем мониторинга под индивидуальные требования бизнеса и ИТ-инфраструктуры.