Fortinet Advanced Threat Protection для защиты от целенаправленных атак

Fortinet Advanced Threat Protection для защиты от целенаправленных атак

Защита от сложных и целенаправленных атак (Advanced Persistent Threats, APT) —один из ключевых вопросов в ИТ-сообществе. Спланированные действия против конкретной организации, применение методов социальной инженерии, новые способы обхода защиты делают традиционное использование устройств безопасности неэффективным. Для борьбы со сложными целенаправленными атаками требуется комплексное специализированное решение, способное противодействовать им на всех этапах и во всей организации.

 

 

1. Введение

2. Три уровня защиты Fortinet ATP от целенаправленных атак

2.1. Обнаружение: выявление ранее не известных угроз

2.2. Предотвращение атак

2.3. Минимизация последствий атаки

2.4. Состав компонентов Fortinet ATP

3. Выводы

 

 

Введение

Для эффективного обнаружения и реагирования на передовые атаки и сложные угрозы компания Fortinet разработала фреймворк Fortinet Advanced Threat Protection (Fortinet ATP), содержащий широкий набор новых и традиционных инструментов для обеспечения безопасности сети, приложений и безопасности конечных точек. Хотя каждый элемент из состава Fortinet ATP способен работать автономно, можно добиться более надежной защиты, если все его элементы будут работать комплексно.

В совокупности продукты из состава Fortinet ATP обеспечивают непрерывный мониторинг и анализ сети для предотвращения (prevent), обнаружения (detect) и смягчения последствий (mitigate) атак, направленных на обход традиционных решений безопасности.

 

Рисунок 1. Фреймворк Fortinet Advanced Threat Protection

 Фреймворк Fortinet Advanced Threat Protection

 

Fortinet ATP позволяет:

  • предотвратить известные и подозрительные атаки;
  • идентифицировать ранее не известные угрозы, распространить полученную информацию на другие средства безопасности с целью увеличения скорости реакции на угрозу;
  • исследовать и анализировать новые данные о возможных атаках, вносить изменения в работу средств безопасности для предотвращения атак в будущем.

 

Три уровня защиты Fortinet ATP от целенаправленных атак

Обнаружение: выявление ранее не известных угроз

Основной подход Fortinet ATP к обнаружению неизвестных сложных угроз и целенаправленных атак заключается в раскрытии поведения с помощью системы эмуляции кодов FortiSandbox, свидетельствующего о тактике, методах и процедурах, используемых в кибератаке. Для оценки угрозы исполняемых файлов, сжатых файлов (ZIP-файлов) и широкого набора файлов приложений (Adobe Flash, Adobe PDF, JavaScript и т. д.) FortiSandbox использует виртуальные машины, оснащенные инструментами, эмулирующими типичную рабочую среду (операционные системы и программное обеспечение). FortiSandbox поддерживает возможность создания собственных образов, включающих конкретное программное обеспечение, используемое заказчиком.

Однако проверка каждого файла на виртуальной машине — ресурсоемкая и долгосрочная задача. Это может ограничить общее число оцененных подозрительных файлов и значительно снизить производительность. Поэтому перед выполнением в FortiSandbox подозрительные файлы фильтруются: выполняется антивирусное сканирование (AV Engine) и делается запрос к облачному сервису FortiGuard (Cloud Query). Если в ходе предварительной проверки наличие или отсутствие угрозы со стороны файла не идентифицировано, то образец файла передается для дальнейшего анализа в виртуальную «песочницу» (Full Virtual Sandbox), включающую эмуляцию кода. Если образец оказывается вредоносным, то FortiSandbox (при наличии соответствующей настройки) загружает данные о вредоносной программе в FortiGuard Labs, которые будут проанализированы специалистами и в конечном итоге войдут в обновления продуктов Fortinet для всех пользователей.

 

Рисунок 2. Технологии обнаружения угроз FortiSandbox

 Технологии обнаружения угроз FortiSandbox

 

Рисунок 3. Угроза с высоким уровнем риска, которая была обнаружена при антивирусном сканировании и в базе облачного сервиса FortiGuard

 Угроза с высоким уровнем риска, которая была обнаружена при антивирусном сканировании и в базе облачного сервиса FortiGuard

 

В графическом интерфейсе администратора FortiSandbox по каждой угрозе содержатся подробные сведения, оценка риска, детальное указание поведения и действий, выполняемых файлом внутри виртуальной машины.

 

Рисунок 4. Отчет о файле, идентифицированном FortiSandbox как потенциально опасный

 Отчет о файле, идентифицированном FortiSandbox как потенциально опасный

 

Предотвращение атак

Фреймворк Fortinet ATP автоматизирует и объединяет анализ подозрительных файлов во всех контрольных точках инфраструктуры заказчика с использованием методов, включающих как прямую инспекцию проходящего трафика, так и тесную интеграцию с механизмами безопасности FortiGate, FortiClient, FortiWeb и FortiMail. Это помогает предотвратить наибольшее число атак, уменьшить нагрузку на FortiSandbox (а значит, сделать решение по эмуляции кодов более доступным) и минимизировать участие ИТ-персонала.

В дополнение к использованию традиционных технологий предотвращения угроз в решениях Fortinet (контроль приложений, предотвращение вторжений, веб-фильтрация, антивирус и антиспам), направленных на блокировку известных угроз и атак, анализ FortiSandbox играет важную роль в предотвращении даже самой современной угрозы, не известной ранее.

Во-первых, FortiMail и FortiClient автоматически блокируют неизвестные файлы до получения результата анализа файлов от FortiSandbox, прежде чем разрешить их доставку или запуск.

Во-вторых, FortiGate и FortiClient могут быть сконфигурированы для получения обновлений сигнатур непосредственно от интегрированной FortiSandbox, чтобы предотвратить целенаправленные атаки с проникновением через несколько узлов сети, а также многоступенчатые атаки, компоненты которых успешно идентифицированы средствами FortiSandbox.

Наконец, FortiSandbox обменивается данными анализа угроз с FortiGuard, что позволяет создать широкую распределенную защиту для предотвращения сложных атак.

Другим аспектом предотвращения угроз является аутентификация пользователей сети. Использование двухфакторной аутентификации добавляет дополнительный уровень безопасности, предоставляя доступ только для легитимных пользователей. Такие компоненты как FortiAuthenticator и FortiToken вместе со шлюзом FortiGate реализуют различные механизмы аутентификации пользователей и устройств в сети, не требуя использования дополнительных компонентов, а также взаимодействуют с другими технологиями аутентификации, развернутыми в сети заказчика. В качестве второго фактора выступают электронные USB-ключи (FortiToken-300), брелоки (FortiToken-200 или FortiToken-220), либо приложение для мобильных устройств FortiToken Mobile. После того как пользователь прошел процедуры идентификации и аутентификации, компонент защиты конечной точки и политики доступа FortiGate гарантируют, что пользователю или устройству предоставлен правильный уровень доступа.

Минимизация последствий атаки

Компания Fortinet унифицировала механизмы уменьшения последствий от ранее не известных угроз и атак, выявленных FortiSandbox. После идентификации угрозы предпринимается целый ряд действий для ликвидации ее последствий: автоматический обмен информацией о подозрительных активностях и зловредах между устройствами безопасности, добавление в карантин зараженной системы, контроль и минимизация  последствий силами ИТ-персонала, который своевременно получает оповещения об актуальных угрозах и атаках. В результате попытки проникновения и проведения атак и нарушения безопасности будут полностью проанализированы и учтены в обновлениях и политиках системы безопасности.

FortiGuard Labs является одним из важнейших компонентов минимизации последствий атак. Информация об обнаруженных FortiSandbox вредоносных программах передается в FortiGuard Labs для углубленного анализа. Обновления безопасности, выпущенные по результатам данного анализа, гарантируют сохранение эффективности продуктов Fortinet ATP на протяжении всего их жизненного цикла.

Компания Fortinet сделала доступными полученные результаты анализа угроз для продуктов безопасности других производителей через API FortiSandbox, интеграцию по протоколу ICAP и пакеты обновлений для других вендоров. Fortinet имеет партнерские отношения с поставщиком безопасности Carbon Black. Новые или подозрительные объекты, выявленные средством защиты Carbon Black Enterprise, развернутом на конечной точке, автоматически передаются на FortiSandbox для анализа. Результаты анализа угроз возвращаются для выбора заранее определенного реагирования на угрозы со стороны Carbon Black. При этом FortiSandbox автоматически распространяет выявленную новую угрозу по всей инфраструктуре безопасности для обновления механизмов защиты.

Состав компонентов Fortinet ATP

Устройство обнаружения сложных угроз FortiSandbox является ключевым компонентом Fortinet ATP для защиты от целенаправленных атак и осуществляет анализ и выявление потенциальных угроз с использованием эмуляции кода в изолированной защищенной среде («песочнице»). По полученным сведениям FortiSandbox динамически генерирует обновления для защиты от новой атаки.

 

Рисунок 5. Начальная страница интерфейса администратора FortiSandbox

 Начальная страница интерфейса администратора FortiSandbox

 

FortiSandbox доступно в качестве физического или виртуального устройства (FortiSandbox Appliance) или как облачный сервис защиты от сложных атак, интегрированный с FortiGate (FortiCloud).

FortiSandbox поддерживает несколько режимов развертывания. В самом простом изолированном (Standalone) режиме FortiSandbox подключается к SPAN-портам коммутатора. Такое подключение лучше всего подходит для добавления защиты от сложных угроз к имеющимся системам защиты.

 

Рисунок 6. Изолированный режим использования FortiSandbox

 Изолированный режим использования FortiSandbox

 

В более продвинутом режиме интеграции (Integrated) шлюзы FortiGate, FortiMail, FortiWeb и FortiClient могут перехватывать и передавать в FortiSandbox подозрительный контент для анализа. Для конфигурации этих продуктов с использованием FortiSandbox достаточно ввести IP-адрес сервера FortiSandbox. Такое взаимодействие является наиболее эффективным, чтобы мгновенно блокировать известные угрозы без снижения производительности сети и уменьшения поверхности атак.

 

Рисунок 7. Интеграция FortiSandbox с другими продуктами Fortinet

 Интеграция FortiSandbox с другими продуктами Fortinet

 

Доступна интеграция со сторонними прокси-серверами и системами анализа контента по протоколу ICAP.

Также с помощью графического интерфейса решения возможна ручная загрузка файлов пользователями или администраторами сети на сервер FortiSandbox для анализа.

Характеристики безопасности устройств FortiSandbox приведены ниже.

 

Таблица 1. Характеристики безопасности устройств обнаружения сложных угроз FortiSandbox

 

FSA-1000D

FSA-3000D

FSA-3500D

FSA-VM

FSA-CLOUD

Виртуальна «песочница» (Full Virtual Sandbox), файлы/час

160

560

720

Зависит от аппаратного обеспечения

Без ограничения

Антивирусное сканирование (AV Scanning), файлы/час

6 000

15 000

30 000

Зависит от аппаратного обеспечения

Без ограничения

Количество виртуальных машин

8

28

36

От 4 до 54

 

Более подробная информация о продукте представлена на сайте разработчика.

Вторым элементом Fortinet ATP является платформа FortiGate, межсетевой экран нового поколения компании Fortinet. FortiGate сочетает в себе глубокий анализ сетевых пакетов и контроль над сетевыми приложениями для обеспечения защиты от сложных угроз.

Применение на платформах FortiGate процессоров собственной разработки FortiASIC (Application-Specific Integrated Circuit) делает возможным одновременное применение нескольких защитных мер без ухудшения производительности сетевых устройств безопасности.

Процессоры FortiASIC на платформах FortiGate реализуют аппаратное ускорение механизмов обработки пакетов и проверки содержимого сетевого трафика, таких как антивирусная защита, контроль приложений, система предотвращения вторжений (Intrusion Prevention System, IPS), межсетевое экранирование.

Следующим элементом фреймворка Fortinet ATP является Web Application Firewall (WAF) в составе FortiWeb, обеспечивающий защиту веб-сайтов и их приложений от SQL-инъекций, XSS (Cross Site Scripting, межсайтовый скриптинг) и выполнения удаленного кода.

Четвертым элементом Fortinet ATP является защищенный шлюз электронной почты FortiMail. FortiMail располагается между глобальной сетью и сервером электронной почты организации, проверяя электронные письма до того, как они достигнут сервера и будут доставлены конечному пользователю. Как в случае с FortiWeb, FortiMail дополняет функции FortiGate более продвинутыми возможностями защиты от спама и выделенными движками антивирусной проверки и URL-фильтрации для обнаружения известных вредоносных файлов и URL-адресов, встроенных в фишинговые письма. Кроме того, FortiMail оснащен системой предотвращения утечек информации (Data Leak Prevention, DLP), шифрованием на основе идентификационных данных (Identity-Based Encryption, IBE).

Защита конечных устройств FortiClient строится на автоматизации основополагающего аспекта (обнаружение, предотвращение, минимизация) защиты от угроз. Встроенный стек безопасности FortiClient обеспечивает защиту от известных атак и включает в себя антивирус, межсетевой экран приложений, сканер уязвимостей с возможностью автоматического обновления и веб-фильтр. Используемые механизмы безопасности позволяют уменьшить возможности успешного проведения атаки, запретить запуск полиморфного и вредоносного кода, а также предотвратить использование известных эксплойтов для различных векторов атаки. Вредоносные действия атак минимизируются за счет обмена оперативными данными с FortiGuard Labs.

В 2016 году компании ICSA Labs и NSS Labs провели длительные независимые тесты средств защиты от сложных угроз. По результатам проведенных испытаний продукты из состава Fortinet ATP (FortiSandbox-3000D, FortiGate-60D и FortiClient) показали высокий уровень обнаружения угроз — 98,6%, а продукты FortiGate 500D и FortiSandbox Cloud получил

и уровень Recommended Appliance and Cloud.

 

 

Выводы

Отдельные продукты безопасности не могут полноценно защитить организацию от современных сложных угроз, если решения действуют в изоляции друг от друга. Для оптимальной защиты необходима интегрированная система обнаружения угроз и реагирования на них.

FortiSandbox из состава фреймворка Advanced Threat Protection компании Fortinet предлагает устойчивую комбинацию проактивного обнаружения угроз и смягчения их последствий. FortiSandbox является полнофункциональной многослойной «песочницей», интегрированной с анализом угроз FortiGuard Labs. Интеграция FortiSandbox с механизмами безопасности FortiGate, FortiClient, FortiWeb и FortiMail позволяет в режиме реального времени обеспечить безопасность контролируемой сети и конечных точек на каждом уровне защиты, входящем в единую концепцию Fortinet ATP.

Такая многоуровневая система защиты от сложных угроз и целенаправленных атак постоянно оптимизирует и улучшает способность обнаруживать и автоматически координировать действия в ответ на самые современные угрозы. Также эффективное взаимодействие продуктов безопасности Fortinet и продуктов других компаний является важным аспектом в вопросе обеспечения безопасности.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru