+7 (499) 750 06 60

Создание геораспределенной системы сетевой безопасности на основе межсетевых экранов следующего поколения (NGFW)

Заказчик: Оператор связи

Отрасль: Телеком

Цель проекта

Целью создания системы стала защита ИТ-инфраструктуры для снижения ущерба вследствие реализации рисков несанкционированного доступа к информационным активам заказчика, защита от сетевых атак на информационные активы и предупреждение попадания в защищенный периметр вредоносного кода, в том числе содержащего «уязвимости нулевого дня».

Решение

В ходе реализации проекта специалисты компании ТАЛМЕР внедрили систему, которая позволяет:

  • обеспечить контроль доступа пользователей заказчика к веб-ресурсам сети интернет и мониторинг аномальной активности пользователей
  • снизить уровень рисков ИБ, связанных с заражением пользовательских компьютеров вредоносным и вирусным программным обеспечением через веб-ресурсы сети интернет
  • снизить уровень рисков ИБ, связанных с заражением пользовательских компьютеров вредоносным и вирусным программным обеспечением через корпоративную электронную почту

    Система, реализованная на базе Next Generation Firewall, позволяет анализировать пользовательский web-трафик и вложения входящей электронной почты. В процессе анализа используется сигнатурный и безсигнатурный метод обнаружения признаков атак и угроз.

    Система осуществляет глубокую инспекцию пакетов сетевого трафика, производя проверку на уровнях с 3 по 7 модели ISO/OSI. Проверки могут осуществляться как на уровне установления сетевого взаимодействия (stateful inspection), так и на более высоких уровнях с определением пользователя и приложения, с которыми соотносится проверяемый пакет данных.

    Вложения входящей электронной почты проверяются как сигнатурно с применением проверки по hash-сумме, так и безсигнатурно на предмет присутствия «уязвимостей нулевого дня» путем анализа в изолированной среде эмуляции. Взаимодействие с системой осуществляется через защищенный канал связи через web-интерфейс и консоль управления, представляющую собой ПО на платформе Windows NT.

    Система осуществляет взаимодействие со следующими внутренними системами заказчика:

    • управления событиями информационной безопасности (SIEM) в части передачи информации об обнаруженных инцидентах
    • Active Directory для получения актуальных данных о пользователях и группах
    • электронной почтой для оповещения персонала об обнаруженных атаках
    • электронной почтой для фильтрации почтовых вложений на содержание вредоносного ПО
    • прокси-серверами для фильтрации пользовательского веб-трафика на присутствие вредоносного ПО, эксплуатирующего известные уязвимости и «уязвимости нулевого дня»

      Администраторы могут централизованно управлять системой и осуществлять ее настройку в рамках предоставленных им прав и привилегий, просматривать в режиме реального времени сведения о событиях безопасности, а также осуществлять мониторинг параметров функционирования системы.

      Выходными данными являются отчеты и оперативные графики, которые формируются в соответствии с заданными шаблонами и отображают текущее состояние защищенности сетевой инфраструктуры заказчика.

      Система обеспечивает возможность горизонтального и вертикального масштабирования, кроме того, реализована возможность развития решения при возрастании нагрузки на компоненты системы. Также систему можно дооснастить шлюзами безопасности на платформе виртуализации для внедрения в удаленных офисах с плохими каналами связи.

      Результат

      В результате проекта заказчик получил периметральную систему защиты, которая содержит 4 высокопроизводительных кластера, модули управления и защиты от «атак нулевого дня». Реализованная система осуществляет глубокий анализ всех проходящих через нее пакетов данных и сетевых соединений, что позволяет предотвращать атаки на информационные активы заказчика.