НОВОСТИ

ФАБРИКА КОНТРОЛЯ ДОСТУПА И ИНВЕНТАРИЗАЦИЯ СЕТИ

Многие предприятия планируют или уже эксплуатируют хорошо зарекомендованные инструменты по предупреждению угроз в области ИБ. Однако реагирование на инциденты до сих пор предполагает участие человека, что создает довольно большую задержку между обнаружением и устранением угрозы. В ForeScout CounterACT реализована поддержка «из коробки» сторонних решений. Включение новых производителей также осуществляется по необходимости. Таким образом решение предлагает гибкий и гранулированный механизм политик в сочетании с различными вариантами управления. Это дает возможность настройки решения NAC таким образом, чтобы автоматически сделать правильное действие в каждой заданной ситуации, без необходимости вмешательства человека. Всего несколько кликов в консоли управления позволит реализовать самую фантастическую политику применения изменений в связке с несколькими решениями.

Дата публикации: 01.11.2017 13:07 | Категория: Пресс-релиз | Источник: http://https://www.forescout.com/produ...

ForeScout CounterACT™ в режиме реального времени обеспечивает видимость всех сетевых устройств и классифицирует их по типу пользователей, операционных систем и установленных приложений. CounterACT включает в себя комплексный, высокопроизводительный механизм сканирования хостов и предоставляет полную информацию о том, что установлено на конечных устройствах и что происходит в сети.В отличие от традиционных NAC продуктов с бинарной логикой и довольно сложным управлением, которые просто прерывают рабочий процесс приложений или пользователей и не гарантируют быструю реакцию на события, ForeScout CounterACT предоставляет широкий спектр автоматических механизмов контроля, которые не мешают пользователям работать и сохраняют непрерывность технологических процессов, насколько это возможно. Встроенный FW и IPS позволяют сегментировать сеть и уведомлять об аномальном поведении. 

SCAP

Протокол автоматизации управления данными безопасности (SCAP) — набор открытых стандартов, определяющих технические спецификации для представления и обмена данными по безопасности. Эти данные могут быть использованы для нескольких целей, включая автоматизацию процесса поиска уязвимостей, оценки соответствия технических механизмов контроля и измерения уровня защищенности. SCAP состоит из следующих стандартов:

Типовые уязвимости и ошибки конфигурации (Common Vulnerabilities and Exposures CVE(r)) [1]

Список типовых конфигураций (Common Configuration Enumeration CCE™) [2]

Список типовых платформ (Common Platform Enumeration CPE) [3]

Единая система определения величины уязвимостей (Common Vulnerability Scoring System CVSS) [4]

Расширяемый формат описания списка проверки конфигурации (Extensible Configuration Checklist Description Format XCCDF) [5]

Открытый язык описания уязвимостей и оценки (Open Vulnerability and Assessment Language OVAL™) [6]

SCAP — это часть более широкой программы, Программы Автоматизации ИБ (ISAP). ISAP создана для выполнения задач автоматизации процессов внедрения и проверки механизмов безопасности информационных систем (ИС). Цели ISAP включают в себя разработку требований для автоматического обмена данными ИБ, настройку и управление базовыми конфигурациями для различных ИТ продуктов, оценку ИС и проверку соответствия требованиям, использование стандартных метрик для оценки и подсчёта интегрального влияния уязвимостей, устранение обнаруженных уязвимостей.

ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ПРОИЗВОДИТЕЛЯМИ
Многие предприятия планируют или уже эксплуатируют хорошо зарекомендованные инструменты по предупреждению угроз в области ИБ. Однако реагирование на инциденты до сих пор предполагает участие человека, что создает довольно большую задержку между обнаружением и устранением угрозы. В ForeScout CounterACT реализована поддержка «из коробки» сторонних решений. Включение новых производителей также осуществляется по необходимости. Таким образом решение предлагает гибкий и гранулированный механизм политик в сочетании с различными вариантами управления. Это дает возможность настройки решения NAC таким образом, чтобы автоматически сделать правильное действие в каждой заданной ситуации, без необходимости вмешательства человека. Всего несколько кликов в консоли управления позволит реализовать самую фантастическую политику применения изменений в связке с несколькими решениями.

 

ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ

Видимость различных типов устройств: корпоративных, личных, неавторизованных и полный анализ• Полный анализ конечного устройства: ПО, патчи, запущенные сервисы\процессы, реестр, кто в данный момент работает и т.д.

Профилирование базового поведения конечных устройств, анализ аномального поведения, контроль сетевых политик в зависимости от имеющейся информации благодаря встроенным Virtual FW и IPS.

Нахождение и исправление уязвимостей и проблем безопасности на управляемых устройствах по заданным самостоятельно критериям.

Обнаружение гостевых устройств и срабатывание в режиме реального времени политики как доступа к ресурсам, так и ранее реализованных на сторонних решениях.

Глубоко настраиваемая система уведомлений пользователя для прохождения процедуры соответствия действующим регламентам и актуального состояния и многое др.
Как следствие, мы получаем сокращение расходов на поддержку ИТ за счет исключения ручного труда, предотвращение нарушений и штрафов вследствие потери данных, использование широкого спектра автоматических действий по обеспечению политик доступа и устранению уязвимостей и максимизировать выгоду от использования из уже имеющихся решений, путем их связывания в единую информационную систему и обмен данными.


ПРИМЕР – SIEM система

В связке с SIEM-системой Forescout предоставляет более разнообразный набор информации о состоянии и признаках определённого актива. Скажем, если конечное устройство, не прошедшее проверку корпоративным сканером свыше установленного срока или не обновленное до актуальной версии ОС, пытается подключиться к Сети, то ForeScout CounterACT немедленно узнает об этом и параллельно генерирует событие с заданным статусом и набором характерных признаков.В свою очередь, CounterACT далее получает инструкцию от SIEM-системы о применении конкретной политики - пусть это будет помещение устройства в карантинную зону с уведомлением пользователя о невозможности исполнения критичных задач до исполнения инструкции. Исполнение процедуры также сопровождается перечисленными выше действиями.

 

ПРИМЕР – Sandbox

При развертывании FireEye (Например) по схеме inline, модуль NX блокирует серию исходящих обратных вызовов с компрометированного устройства и сообщает CounterACT зараженной системе, степени и тяжести угрозы и показатели компрометации (IOCs).

CounterACT получает эту информацию и автоматически по заранее предписанному сценарию принимает надлежащие меры, в том числе:• Карантин конечной точки с помощью переназначения блокировки портов ACL, VLAN или запатентованной ForeScout технологии Virtual Firewall.

• Направляет конфигурации конечной точки и детали уровня безопасности в SIEM-Систему, в том числе с Аналитической платформы FireEye (TAP).

• Информация содержит имя пользователя, имя залогиневшегося, отсутствующие патчи, антивирусный статус, запущенные процессы, установленные приложения, подключенные внешние устройства, местоположение, IP-адрес и тип устройства.

• Команда на срабатывание триггера стороннего сканера, включая FireEye Endpoint, Платформа Prevention (HX Series) на предмет компрометации специфических IOCs с платформы NX FireEye.

• Уведомление конечного пользователя и/или администратора по электронной почте или SMS.


Могут быть предприняты дополнительные действия, в том числе:

• Сканирование других конечных точек, которые подключаются или подключены к подозрительной или входящие в тот же сегмент сети.

• Если CounterACT обнаруживает дополнительные скомпрометированные конечные точки, он может изолировать их для предотвращения бокового распространения вредоносных программ и/или предпринять перечисленные выше действия.АСУТПИзвестно, что активное воздействие на промышленные системы может привести к непредсказуемым последствиям. Современные системы SCADA используют IP-адреса для конечных точек, старые – могут и не использовать и построены преимущественно на базе собственных протоколов.


Поэтому для изолированных систем SCADA общепризнанными методами защиты являются контроль удаленного доступа и ограничение или отключение USB-портов и Bluetooth. Для SCADA сетей, подключенных к корпоративным сетям или через Интернет:

- Изолирование и перечисленные выше ...

- Обновление программного обеспечения на компьютерах, которые будут подключены к интернету.- Ограничение доступа подрядчика.

- Регулирование доступа в Интернет для различных типов пользователей.

- Ограничительная политика для чужих устройств.
 
Здесь ForeScout может быть полезен в качестве обеспечения:
• Видимости конечного устройства и пассивного определения его типового поведения.• Выделение конкретного сегмента оборудования под определенный технологический процесс и информирование о нарушении его границ.

• Профилирование базового уровня ожидаемого поведения сети и информирование об его изменении.

• Отчетность по соответствию для NERK / FERC и т.д.


Частный случай:

1. ForeScout посылает информацию о конечной точке в SIEM

2. SIEM соотносит информацию ForeScout с другими источниками для обнаружения угроз

3. SIEM отправляет уведомления об угрозе в ForeScout

4. ForeScout оповещает и/или временно ограничивает конечной точке доступ к сети на основе настроенной политики SIEM в ForeScout.

 

 

 


Расширенное обнаружение угроз (ATD, см выше FireEye)

Обеспечивает реальное применение политики безопасности между CounterACT и вашей системой ATD. Комбинированное решение может автоматически определять индикаторы компрометации (IOC) в вашей сети и помещать в карантин зараженные устройства, тем самым ограничивая распространение вредоносных программ и разрушая цепочку кибер-атаки.
Принцип работы:

Система ATD обнаруживает вредоносное ПО, а затем сообщает CounterACT о затронутых системах и IOC.Основываясь на вашей политике, CounterACT использует свой репозиторий IOC для сканирования других конечных точек, которые пытаются подключиться или уже подключены к вашей сети для распространения инфекции.CounterACT автоматически принимает меры реагирования на инцидент для сдерживания угрозы. Различные действия могут выполняться в зависимости от серьезности или приоритета угрозы.

 

Платформа защиты конечных точек / обнаружение и реагирование конечных точек (EPP / EDR)

Модули EPP / EDR обеспечивают двунаправленную интеграцию между CounterACT и платформой защиты конечных точек, чтобы проинвентаризировать устройства на наличие функционального антивируса, обновленной базы сигнатур, шифрования и других политик на хосте и облегчить действия по исправлению выявленного несоответствия.
Принцип работы:

CounterACT обнаруживает и профилирует устройства в момент подключения к сети и делится этой информацией с платформами EPP / EDR. Если на устройстве есть агент, платформа управления конечными точками сообщает CounterACT все что ей известно о статусе соответствия устройства. CounterACT разрешает доступ устройств и прошедших проверку авторизованным пользователям.Если устройство имеет отсутствующий/поврежденный агент, CounterACT сообщает платформе EPP/EDR о необходимости установить/восстановить агент. CounterACT также может активировать браузер и отправиить пользователя на страницу с инструкциями для самовосстановления. CounterACT продолжает контролировать систему для соблюдения соответствия и ошибочного поведения.Основываясь на прописанных политиках безопасности, CounterACT может выполнять широкий спектр контрольных действий, включая изоляцию устройств, уничтожение вредоносного процесса или инициирование других действий по восстановлению и оповещение пользователя.

 

Брандмауэр следующего поколения (NGFW)

Модули NGFW позволяют реализовать динамическую сегментацию сети, автоматизировать управление безопасным доступом к критическим ресурсам и создавать контекстно-зависимые политики безопасности в NGFW основываясь на метаданных конечной точки, полученных от CounterACT.
Принцип работы:

CounterACT обнаруживает, классифицирует и оценивает устройства по мере их подключения к сети.На основе созданной ранее политики расширенный модуль ForeScout для NGFW отправляет идентификатор пользователя, информацию об устройстве и контекст безопасности в NGFW.NGFW использует контекстную информацию ForeScout для применения политики доступа к сети и гранулированной сегментации.

 

Оценка уязвимости (VA)

Модули VA синхронизируют обширные данные по оценки уязвимости между CounterACT и системами VA для инициирования VA-сканирования устройств и, при необходимости, автоматизации принудительных действий на основе ранее созданной политики.
Принцип работы:

CounterACT запускает систему VA для выполнения сканирования в реальном масштабе времени вновь присоединенного устройства в момент подключения к сети и изолирует данное устройство в контрольной VLAN при выполнении запущенного задания.CounterACT запускает VA-сканирование на устройствах, которые соответствуют определенным условиям политики, например, конечных точках с конкретными приложениями или при обнаружении изменений конфигурации конечной точки.По окончании, CounterACT может получить результаты сканирования и инициировать запуск профилактических действия по снижению риска, если обнаружена уязвимость.

Поиск по тегам:

НОВОСТИ ПО ТЕМЕ

Все новости

СОБЫТИЯ ПО ТЕМЕ

Все события

СЛЕДУЮЩИЕ ШАГИ

Отправить запрос

ПОДПИСАТЬСЯ НА РАССЫЛКУ

Для подписки на новостной бюллетень
укажите адрес электронной почты