Biała lista VS czarna lista.

poniedziałek, Maj 21, 2018

       Klasyczne podejście.

Przy powstawaniu pierwszych UTM specyfika sieci opierała się
o ruch per port, 
który był jednocześnie wyznacznikiem konkretnej
aplikacji. W jaki sposób 
więc rozwiązywano problem podzielenia
ruchu na zaufany i niechciany?  
Oczywiście – jedne porty otwierano,
inne blokowano.

Mimo pierwszych przewidywań z początków powstania Internetu,
że każda 
kolejna usługa będzie wykorzystywała inny port
(więc i zakres przewidziano 
spory: 0 – 65535), rzeczywistość okazała
się inna. Prawie cały ruch internetowy, 
oparty dzisiaj tak naprawdę
na aplikacjach, odbywa się wyłącznie po dwóch 
portach – 8080 i 443.
Jeśli mamy narzędzie, które pozwala nam na zaplanowanie

polityk dostępu na zasadzie blokuj port – otwórz port, nie daje nam to
w dzisiejszym świecie niemalże żadnego bezpieczeństwa.

Czarna lista vs biała lista.

Opisany powyżej sposób zarządzania ruchem internetowym do naszej sieci wewnętrznej to przykład typowej czarnej listy, gdzie domyślnie:
• Cały ruch domyślnie jest przepuszczany
• To my decydujemy (więc musimy też wiedzieć), co blokować

W takim scenariuszu nietrudno o złamanie naszych zabezpieczeń oraz zezwolenie w naszej sieci na ruch, który nie powinien tam występować. Jak więc działa biała lista?

• Cały ruch domyślnie jest blokowany
• To my decydujemy, który ruch jest akceptowany

I dokładnie w ten sposób działa system, na których oparte są NGFW Palo Alto Networks. Na pierwszy rzut oka filozofia wydaje się bezpieczna, tylko jak łatwo takim scenariuszem zarządzać?

 


Jakie aplikacje są ważne dla biznesu i czy blokować Youtube?


Przy planowaniu, jakie aplikacje powinny być dozwolone w Twojej firmie, warto koncertować się przede wszystkim na tych, które są krytyczne dla biznesu i jak te aplikacje korelują ze sobą. Pozwoli to na ustalenie polityk bezpieczeństwa w oparciu o strategię 
goal-driven.

Dla przykładu: jedną z potrzeb jest udzielenie dostępu użytkownikom do aplikacji typu data center.
Dalej: musimy również przydzielić naszej grupie sprzedażowej i grupie wsparcia dostęp do zasobów któregoś z naszych Klientów.
W systemie Palo Alto Networks możesz w jednej polityce zawrzeć regułę, która będzie odnosić się do danego typu aplikacji oraz konkretnej grupy ludzi opartej o ich rolę w firmie. Dzięki temu otrzymujemy bardzo jasny i skondensowany obraz zastosowanych polityk, nakierowanych stricte na dany cel.

Dodatkowo, możesz sam łączyć konkretne, nakierowane na biznes aplikacje w daną grupę aby ułatwić późniejsze zarządzanie nimi:

• Tworzenie grup zaufanych aplikacji – które dokładnie znasz i są one codziennie wykorzystywane w firmie. Bardzo upraszcza to późniejszą administrację regułami dostępu, ponieważ wprowadzenie jakiejkolwiek nowej aplikacji firmowej (lub usunięcie nieużywanej/zmienianej) wymaga jedynie modyfikację w obrębie grupy, a nie dodawanie lub usuwanie całej polityki.
• Tworzenie filtrów dla aplikacji danego typu – poza aplikacjami, które całkowicie dopuszczasz, firma musi zdecydować, które będą dodatkowo dozwolone do korzystania dla użytkownika. Filtry aplikacji pozwolą bezpiecznie udostępnić konkretne typy aplikacji (bazując na kategoriach, podkategoriach, technologii, bezpieczeństwie, charakterystyce).
Dzięki temu możemy w bardzo łatwy sposób oddzielić reguły dostępu (i same grupy aplikacji) dedykowane dla działania programów biznesowych i użytkowych.

 

Masz więcej czasu na zwiększenie bezpieczeństwa.

Jeśli ułatwienie codzienną administracją dostępu zajmuje teraz mniej czasu, warto poświęcić jego część na tworzenie okresowych polityk dla dostrojenia swoich reguł i sprawdzenia, czy pewnych aplikacji nie pomijamy, albo którędy najczęściej hakerzy próbują dokonać ataku.
Najefektywniejszym sposobem podziału reguł będzie:
• Biała lista aplikacji, które mają codzienne zastosowanie w biznesie i są dla niego krytyczne
• Biała lista grup aplikacji z podziałem na typy, które firma akceptuje
• Czarna lista aplikacji, które nie mają żadnego uzasadnienia dla działalności firmy
• Tymczasowa polityka dostępu, która pomoże „wyłapać” aplikacje i ruch, którego dotychczas nie doświadczyliśmy. Dzięki tej polityce możemy odpowiednio przerzucić potem dane programy do pozostałych reguł. 

 Chcesz dowiedzieć, się jak zadziała u Ciebie?

napisz do nas