Сегментация Сети и Контроль Периметра с GreyCortex Mendel

Сегментация и политики доступа на периметре являются фундаментальными для управления рисками и контроля над критическими системами сети. Без контроля сегментации и политик доступа одно скомпрометированное устройство может привести к распространению атаки на всю ИТ-инфраструктуру.

Посмотрите вебинар, чтобы узнать больше о том, как GreyCortex Mendel помогает выявлять риски в сетевом трафике.

Проверка запрещённого трафика между сегментами

East–west трафик — это коммуникация между устройствами внутри внутренней сети, например, между пользователями и серверами. Когда сегментация применяется ненадлежащим образом, злоумышленники могут перемещаться по сетевым сегментам (lateral movement) и получить доступ ко всей сети. Ограничение такого трафика имеет критическое значение для предотвращения доступа к критическим системам.

Граф узлов в Mendel, как показано ниже, обеспечивает чёткий обзор внутренних коммуникаций. Указав во вкладке фильтров внутренний трафик, аналитик может быстро проверить, происходят ли несанкционированные соединения между изолированными сегментами.

Несанкционированный доступ в Интернет

Устройства в ограниченных сегментах, таких как серверы или сети резервного копирования, как правило, не должны напрямую взаимодействовать с публичным Интернетом. Во многих средах доступ в Интернет должен осуществляться через прокси или DMZ, в то время как межсетевые экраны блокируют весь остальной исходящий трафик. Если эти механизмы контроля работают ненадлежащим образом, наличие прямого доступа в Интернет может поставить системы под угрозу.

В панели фильтров Mendel позволяет выбрать исходящий трафик в целом или от конкретных хостов, что упрощает идентификацию устройств, пытающихся получить доступ в Интернет.

Если такой трафик обнаружен, аналитики могут проверить, проходил ли он через разрешённый прокси, просмотрев записанные детали сетевых потоков. Они также могут подтвердить, были ли прямые соединения (в обход прокси) заблокированы на уровне межсетевого экрана, проверив TCP-флаги и состояние назначения.

Mendel позволяет устанавливать политики для мониторинга интернет-трафика с конкретных сегментов или устройств. В случае нарушения система автоматически отправляет уведомление.

Новые или исчезнувшие IP или MAC-адреса в контролируемой сети

Контролируемые сегменты сети, такие как серверные сегменты и элементы критической инфраструктуры, обычно стабильны, не предполагают незапланированное появление новых хостов и построены на основе статических конфигураций IP и MAC. Появление неизвестных устройств может свидетельствовать о несанкционированном доступе, ошибке в настройках политик или потенциальной угрозе.

Mendel позволяет назначать политики для конкретных подсетей или хостов с целью мониторинга новых или отсутствующих IP и MAC-адресов. Политики также могут включать ограничения на трафик, количество пакетов, пирингов, порты, длительность и потоки.

В случае нарушения политики Mendel немедленно сгенерирует уведомление. Для автоматической блокировки Mendel можно интегрировать с внешними системами, такими как NAC, Cisco ISE, Fortinet, Palo Alto и другими.

Некорректный трафик между сетью управления и сегментом пользователей

Сети управления, или management-сети, созданы для ограничения доступа к управлению инфраструктурными компонентами, такими как коммутаторы, маршрутизаторы, серверы и другие элементы инфраструктуры. Несанкционированный доступ из сети пользователей в сеть управления повышает риск неправильной настройки, злоупотребления привилегиями, эксплуатации уязвимостей или несанкционированного доступа к управлению элементами инфраструктуры.

Граф узлов в Mendel предоставляет чёткое представление о коммуникациях между определёнными сегментами сети. Аналитики могут сосредоточиться на management-сетях, чтобы проверить, надлежащим ли образом они изолированы от пользовательских сетей, как того требуют внутренние политики.

Например, подсеть 10.0.20.0/24 была определена как сеть управления, но Mendel обнаружил активные соединения с другими внутренними сетями.

После обновления правил межсетевого экрана Mendel подтвердил изоляцию, показав отсутствие какой-либо коммуникации с 10.0.20.0/24.

Softprom — Value Added Distributor компании GREYCORTEX.