Сегментація Мережі та Контроль Периметру з GREYCORTEX Mendel

Сегментація та політики доступу на периметрі є фундаментальними для управління ризиками та контролю над критичними системами мережі. Без конторолю сегментації та політик доступу один скомпрометований пристрій може призвести до поширення атаки на всю ІТ інфраструктуру.

Перегляньте вебінар, щоб дізнатися більше що-до можливостей як GreyCortex Mendel допомагає виявляти ризики у мережевому трафіку.

Перевірка забороненого трафіку між сегментами

East–west трафік - комунікація між пристроями всередині внутрішньої мережі, наприклад, між користувачами та серверами. Коли сегментація належним чином не застосовується, зловмисники можуть переміщатися мережевими сегментами (lateral movement) та отримати доступ до всієї мережі. Обмеження цього трафіку є критично важливим для запобігання доступу до критичних систем.

Граф вузлів у Mendel, як показано нижче, забезпечує чіткий огляд внутрішніх комунікацій. Зазначивши в панелі фільтрів внутрішній трафік, аналітик може швидко перевірити, чи відбуваються несанкціоновані з’єднання між ізольованими сегментами.

Несанкціонований доступ до Інтернету

Пристрої в обмежених сегментах, таких як сервери чи мережі резервного копіювання, зазвичай не повинні безпосередньо комунікувати з публічним Інтернетом. У багатьох середовищах доступ до Інтернету має здійснюватися через проксі або DMZ, тоді як міжмережеві екрани блокують увесь інший вихідний трафік. Якщо ці засоби контролю не працюють належним чином, маючи доступ до інтернет, системи можуть бути під ризиком.

У панелі фільтрів Mendel дозволяє обрати вихідний трафік загалом чи від конкретних хостів, що спрощує ідентифікацію пристроїв, які намагаються отримати доступ до Інтернету.

Якщо такий трафік виявлено, аналітики можуть перевірити, чи проходив він через дозволений проксі, переглянувши записані деталі мержевих потоків. Вони також можуть підтвердити, чи прямі з’єднання (в обхід проксі) були заблоковані на рівні міжмережевого екрану, перевіривши TCP-прапори та статус призначення.

Mendel дозволяє встановлювати політики для моніторингу Інтернет-трафіку з конкретних сегментів або пристроїв. У разі порушення система автоматично надсилає сповіщенняе.

Нові або зниклі IP чи MAC-адреси в контрольованій мережі

Контрольовані сегменти мережі, такі як серверні сегменти, елементи критичної інфраструктури, зазвичай стабільні, не передбачають не заплановану появу нових хостів, побудовані на основі статичних конфігурацій IP та MAC. Поява невідомих пристроїв може свідчити про несанкціонований доступ, помилку у налаштуваннях політик або потенційну загрозу.

Mendel дозволяє призначати політики для конкретних підмереж чи хостів з метою моніторингу нових або відсутніх IP та MAC-адрес. Політики також можуть включати обмеження на трафік, кількість пакетів, пірів, порти, тривалість і потоки.

У разі порушення політики Mendel негайно згенерує сповіщення. Для автоматичного блокування Mendel можна інтегрувати зі сторонніми системами, такими як NAC або Cisco ISE, Fortinet, Palo-Alto та ін.

Некоректний трафік між мережею управління та сегментом користувачів

Мережі управління, або менеджмент мережі, створені для обмеження доступу до управління інфраструктурними компонентами, такими як комутатори, маршрутизатори чи сервери, інші інфраструктурні елементи. Несанкціонований доступ із мережі користувачіва у мережу управління підвищує ризик застосування неправильних налаштувань, зловживання привілеями, експлуатації вразливостей або несанціонованого доступу до управління елементами інфраструктури.

Граф вузлів у Mendel надає чітке уявлення про комунікації між визначеними сегментами мережі. Аналітики можуть зосередитися на менеджмент мережах, щоб перевірити, чи вони належним чином ізольовані від користувацьких мереж, як цього вимагають внутрішні політики.

Наприклад, підмережа 10.0.20.0/24 була визначена як мережа управління, але Mendel виявив активні з’єднання з іншими внутрішніми мережами.

Після оновлення правил міжмережевого екрану Mendel підтвердив ізоляцію, показавши відсутність будь-якої комунікації з 10.0.20.0/24.

Softprom — Value Added Distributor компанії GREYCORTEX.