Preloader
Производитель
Решение
новости
Портфель компании представлен решениями ведущих мировых производителей программного обеспечения
Весь портфель решений Все производители
Дистрибуция решений по кибер-безопасности, развитию и оптимизации ИТ-технологий для организаций любого масштаба
Oberig IT держит руку на пульсе ИТ-мира и предлагает самые актуальные новости по кибер-безопасности
Связаться
  1. Главная
  2. Статьи
  3. 20 лучших практик управления брандмауэром для обеспечения безопасности сети
09 ноября, 2023

20 лучших практик управления брандмауэром для обеспечения безопасности сети

Подробности

Межсетевые экраны являются одним из наиболее важных решений в области кибербезопасности в технологическом стеке предприятия. Они также могут быть самыми требовательными. Управление межсетевыми экранами – одна из самых трудоемких задач, которые регулярно выполняют команды безопасности и сетевые администраторы.

Чем более сложной и трудоемкой является задача, тем легче в нее вкрадываются ошибки. Лишь немногие организации создали безопасные сетевые рабочие процессы, включающие комплексные планы управления изменениями в межсетевых экранах и стандартизированные передовые методы работы с ними. Это делает внедрение изменений политики и оптимизацию работы межсетевых экранов более рискованным, чем требуется.

Согласно отчету Verizon Data Breach Investigation Report за 2023 год, неправильная конфигурация системы безопасности является причиной каждой десятой утечки данных.

Сюда относится все, начиная от незамеченных исключений в базе правил межсетевого экрана и заканчивая откровенным нарушением политики со стороны ИТ-служб безопасности. Сюда входят и неудачные изменения конфигурации межсетевого экрана, и проблемы с маршрутизацией, и несоблюдение политик контроля доступа.

Руководители служб безопасности должны обратить пристальное внимание на то, как их сотрудники обновляют правила межсетевого экрана, работают с журналами и создают журналы аудита. Организации, которые наведут порядок в политике управления межсетевыми экранами, будут лучше подготовлены к автоматизации применения политик, устранения неполадок и миграции межсетевых экранов.

20 лучших практик управления межсетевыми экранами на сегодняшний день

1. Понять, как вы пришли к текущим политикам межсетевого экрана:

  • Большинство руководителей служб безопасности получают в наследство чужой технологический стек в области кибербезопасности в тот момент, когда устраиваются на работу. Одной из первых задач является обнаружение сети и каталогизация подключенных активов.
  • Вместо того чтобы просто составить схему сетевой архитектуры и каталогизировать активы, следует пойти глубже. Попытайтесь понять, на чем основан текущий набор правил. К каким киберугрозам и уязвимостям готовился предыдущий руководитель службы безопасности организации? Что изменилось с тех пор?

2. Внедрение нескольких уровней межсетевых экранов:

  • Для создания надежной защиты используйте несколько типов межсетевых экранов. Настройте межсетевые экраны для борьбы с конкретными вредоносными программами и кибератаками в соответствии с профилем риска отдельных частных сетей и подсетей в вашей среде.
  • Это может потребовать добавления новых межсетевых экранов или добавления новых правил к уже существующим. Возможно, потребуется отдельно развернуть и управлять межсетевыми экранами на уровне периметра, внутренних сетей и приложений, а также централизовать контроль над ними с помощью средств управления межсетевыми экранами.

3. Регулярно обновляйте правила межсетевого экрана:

  • Регулярно просматривайте и обновляйте правила межсетевого экрана, чтобы убедиться в их соответствии потребностям организации. Удалите устаревшие или ненужные правила, чтобы уменьшить потенциальную площадь атак.
  • Обратите особое внимание на области, где правила межсетевого экрана могут пересекаться. Некоторые приложения и интерфейсы могут быть защищены несколькими брандмауэрами с противоречивыми правилами. В лучшем случае это снижает эффективность работы парка межсетевых экранов. В худшем случае это может привести к появлению уязвимостей в системе безопасности, позволяющих злоумышленникам обходить правила брандмауэра.

4. Применять принцип наименьших привилегий:

  • Применяйте принцип наименьших привилегий при создании правил межсетевого экрана. Предоставляйте доступ только к тем ресурсам, которые необходимы для выполнения определенных ролей или функций. Не забывайте удалять доступ у пользователей, которым он больше не нужен.
  • Этого трудно добиться с помощью простых средств межсетевого экранирования. Вам могут понадобиться политики, которые смогут отслеживать пользователей и сетевые активы даже при изменении их IP-адресов. Брандмауэры нового поколения способны применять такие политики на основе идентификации.
  • Если конфигурация межсетевого экрана вашей организации управляется сторонней фирмой, это не означает, что она автоматически правильно применяет этот принцип. Потратьте время на пересмотр своих политик и убедитесь, что ни один пользователь не имеет необоснованного доступа к критическим сетевым ресурсам.

5. Использование сегментации сети для построения многоуровневой защиты:

  • Используйте сегментацию сети для изоляции различных ее частей. Это облегчает построение и применение политик, основанных на принципе наименьших привилегий. Если злоумышленники скомпрометируют один сегмент сети, вы сможете легко изолировать его и обеспечить безопасность остальных.
  • Обратите пристальное внимание на потоки входящего и исходящего трафика. Некоторые сегменты сети должны принимать потоки, идущие в обоих направлениях, но многие этого не делают. Правильно сегментированные сети не допускают прохождения сетевого трафика по ненужным маршрутам.
  • Можно даже построить две совершенно отдельные сети – одну для нормальной работы, другую для управления. Если эти сети обслуживаются разными провайдерами, то атака на одну из них не приведет к атаке на другую. Администраторы могут использовать другую сеть для предотвращения активной кибератаки.

6. Ведение журнала и мониторинг активности брандмауэра:

  • Включите протоколирование работы межсетевого экрана и регулярно просматривайте журналы на предмет подозрительной активности. Внедрите автоматические оповещения о критических событиях. Убедитесь, что журналы брандмауэра хранятся в доступном недорогом месте, сохраняя при этом легкий доступ к ним в случае необходимости. Вы должны иметь возможность извлекать такие записи, как IP-адреса источников, по мере необходимости.
  • Рассмотрите возможность внедрения более комплексной платформы управления информацией и событиями безопасности (SIEM). Это позволит собирать и анализировать данные журналов по всей организации в одном месте. Аналитики могут более эффективно обнаруживать угрозы и реагировать на них в среде с поддержкой SIEM.
  • Рассмотрите возможность включения протоколирования для всех правил разрешения/запрета. Это позволит получить доказательства вторжения в сеть и поможет в устранении неполадок. Это также позволит использовать автоматизированные инструменты для оптимизации конфигурации межсетевого экрана на основе исторического трафика.

7. Регулярное тестирование и аудит работы межсетевого экрана:

  • Регулярно проводите оценку безопасности и тесты на проникновение для выявления уязвимостей. Проводите аудит безопасности, чтобы убедиться в том, что конфигурация межсетевого экрана соответствует политике организации. Обязательно просматривайте результаты любых изменений, которые планируется внести в правила межсетевого экрана организации.
  • Это может быть очень сложной и трудоемкой задачей. У растущих организаций быстро закончится время и ресурсы для эффективного тестирования изменений конфигурации межсетевого экрана. Рассмотрите возможность использования платформы управления изменениями межсетевого экрана для автоматизации этого процесса.

8. Часто обновляйте программное обеспечение брандмауэра:

  • Постоянно обновляйте микропрограммное и программное обеспечение брандмауэра с помощью патчей безопасности. Уязвимости в устаревшем программном обеспечении могут быть использованы, и многие хакеры активно читают журналы изменений обновлений в поисках новых эксплойтов. Даже нескольких дней задержки может быть достаточно для проведения атаки предприимчивыми злоумышленниками.
  • Как и большинство обновлений программного обеспечения, обновления межсетевого экрана могут вызывать проблемы совместимости. Рассмотрите возможность внедрения средства управления межсетевым экраном, которое позволяет предварительно просматривать изменения и устранять проблемы совместимости до загрузки обновлений.

9. Убедитесь, что у вас есть надежная конфигурация резервного копирования:

  • Регулярно создавайте резервные копии конфигураций межсетевых экранов. Это позволит быстро восстановить настройки в случае сбоя или компрометации. Если злоумышленники используют уязвимость, позволяющую вывести из строя систему межсетевого экрана, восстановление предыдущей версии может оказаться самым быстрым способом устранения последствий атаки.
  • При планировании резервного копирования особое внимание следует уделять целям восстановления (Recovery Point Objectives, RPO) и времени восстановления (Recovery Time Objectives, RTO). RPO – это количество времени, которое можно позволить себе пропустить между резервными копиями. RTO – это время, необходимое для полного восстановления скомпрометированной системы.

10. Развернуть структурированный процесс управления изменениями:

  • Внедрите строгий процесс управления изменениями для модификации правил межсетевого экрана. Вместо того, чтобы позволять сетевым администраторам и командам ИТ-безопасности вносить изменения «от случая к случаю», установите надлежащий процесс утверждения, включающий документирование всех вносимых изменений.
  • Это может замедлить процесс реализации изменений политики межсетевого экрана и внедрения новых правил. Однако это значительно упрощает анализ работы межсетевого экрана с течением времени и создание аудиторских записей после атак. Организации, автоматизирующие этот процесс, могут получить как хорошо документированные изменения, так и их быстрое внедрение.

11. Внедрение систем обнаружения и предотвращения вторжений (IDPS):

  • Используйте IDPS в сочетании с межсетевыми экранами для обнаружения и предотвращения подозрительного или вредоносного трафика. IDPS в сочетании с правильно настроенными межсетевыми экранами повышает уровень безопасности в масштабах предприятия и позволяет службам безопасности обнаруживать вредоносное поведение.
  • Некоторые решения NGFW включают в себя встроенные функции обнаружения вторжений, которые являются частью передовой технологии межсетевого экрана. Это дает руководителям служб безопасности возможность использовать в одном устройстве как средства предотвращения, так и средства обнаружения.

12. Инвестируйте в обучение и информирование пользователей:

  • Обучите сотрудников навыкам безопасного просмотра веб-страниц и расскажите им о важности защиты брандмауэра. Убедитесь, что они понимают, от каких киберугроз призваны защищать межсетевые экраны, и как правила межсетевого экрана способствуют их собственной безопасности.
  • Большинство брандмауэров не могут предотвратить атаки, использующие халатность сотрудников. Используйте обучение работе с межсетевыми экранами для формирования культуры безопасности в офисе, которая позволяет сотрудникам быть бдительными в отношении кражи личных данных, фишинговых атак, социальной инженерии и других векторов кибератак. Поощряйте сотрудников сообщать о необычном поведении сотрудникам службы ИТ-безопасности, даже если они не подозревают о готовящейся атаке.

13. Настройка межсетевых экранов для обеспечения избыточности и высокой доступности:

  • При проектировании сети следует предусмотреть механизмы резервирования и обхода отказа для обеспечения непрерывной защиты в случае аппаратных или программных сбоев. Несколько брандмауэров могут работать совместно и бесперебойно выполнять свои функции в случае выхода одного из них из строя, что значительно затрудняет злоумышленникам использование времени простоя брандмауэра.
  • Назначение межсетевых экранов высокой готовности (или кластеров межсетевых экранов) для обработки большого объема трафика, подверженного широкому спектру угроз безопасности. Серверы, предназначенные для публичных пользователей и обслуживающие большое количество входящего трафика, обычно нуждаются в дополнительной защите по сравнению с внутренними ресурсами.
  • Счетчики трафика на основе правил могут дать ценную информацию о том, какие правила активизируются чаще всего. Это позволяет определить приоритетность наиболее важных правил в сценариях с высокой интенсивностью использования.

14. Разработка комплексного плана реагирования на инциденты:

  • Разработайте и регулярно обновляйте план реагирования на инциденты, включающий специфические для межсетевых экранов процедуры обработки инцидентов безопасности. Планируйте несколько различных сценариев и проводите тренировки, чтобы убедиться, что ваша команда готова к реагированию на реальные инциденты.
  • Рассмотрите возможность использования решений для оркестровки, автоматизации и реагирования на инциденты безопасности (SOAR) для создания и запуска автоматических сценариев реагирования на инциденты. Такие сценарии могут выполняться одним щелчком мыши, мгновенно подключая дополнительные средства защиты в ответ на обнаружение угроз безопасности.
  • Будьте готовы к тому, что при возникновении инцидентов сотрудники и руководители будут тщательно проверять развернутые межсетевые экраны. Не всегда ясно, был ли источником проблемы брандмауэр или нет. Опередите проблему, используя анализатор пакетов, чтобы на ранней стадии выяснить, привела ли неправильная конфигурация межсетевого экрана к инциденту или нет.

15. Не отставать от нормативных требований и правил безопасности:

  • Соблюдайте соответствующие отраслевые нормы и стандарты, такие как GDPR, HIPAA или PCI DSS, которые могут содержать особые требования к межсетевым экранам. Будьте в курсе изменений и обновлений нормативных требований.
  • В корпоративной среде, ориентированной на приобретения, управление соблюдением нормативных требований может быть очень сложным. Рассмотрите возможность внедрения платформы управления межсетевыми экранами, которая обеспечивает централизованное представление всей сетевой среды, что позволяет быстро выявлять недостаточно защищенные сети.

16. Не забывайте о документации:

  • Ведите подробную документацию по конфигурации межсетевых экранов, схемам сети и политикам безопасности в справочных и аудиторских целях. Поддерживайте эти документы в актуальном состоянии, чтобы новые и существующие члены команды могли использовать их для справок при необходимости взаимодействия с решениями межсетевого экрана организации.
  • Сетевые администраторы и сотрудники служб ИТ-безопасности не всегда являются самыми добросовестными создателями документации. Рассмотрите возможность автоматизации этого процесса и выделения специальной роли для поддержки и обновления документации по межсетевым экранам в организации.

17. Регулярно анализируйте и улучшайте работу межсетевого экрана:

  • Постоянно оценивайте и совершенствуйте методы управления межсетевым экраном с учетом развивающихся угроз и меняющихся потребностей бизнеса. Формализуйте подход к анализу, обновлению и внедрению новых правил, используя данные, собранные в ходе текущего развертывания.
  • Этот процесс требует возможности предварительного просмотра изменений политики и создания сложных сценариев «что-если». Без наличия мощной платформы управления изменениями межсетевого экрана проведение такого исследования вручную может оказаться весьма затруднительным. Рассмотрите возможность использования автоматизации для оптимизации производительности межсетевого экрана с течением времени.

18. Развертывание комплексного резервного подключения:

  • В случае сбоя в сети необходимо обеспечить наличие плана резервного подключения для поддержания основных сервисов. Убедитесь, что план включает решения по обеспечению непрерывности бизнеса для критически важных служб, а также средства контроля безопасности, обеспечивающие соблюдение нормативных требований.
  • Рассмотрите несколько сценариев развития событий, которые могут повлиять на непрерывность бизнеса. Специалисты по безопасности обычно уделяют особое внимание кибератакам, однако отключение электричества, наводнения, землетрясения и другие природные явления могут с такой же легкостью привести к потере данных. Хакеры могут воспользоваться этими событиями и нанести удар в тот момент, когда, по их мнению, организация ослабит бдительность.

19. Обеспечьте безопасный удаленный доступ:

  • Если требуется удаленный доступ к сети, используйте для дополнительной защиты такие безопасные методы, как VPN и многофакторная аутентификация (MFA). Убедитесь, что политики межсетевого экрана отражают возможности организации по удаленному доступу и обеспечивают безопасную среду для работы удаленных пользователей.
  • Рассмотрите возможность внедрения решений NGFW, которые могут надежно идентифицировать и управлять входящими VPN-соединениями, не вызывая ложных срабатываний. Особенно осторожно следует относиться к правилам межсетевого экрана, которые автоматически запрещают подключения без проведения более глубокого анализа на предмет легитимного доступа пользователей.

20. Использование групповых объектов для упрощения правил межсетевого экрана:

Анализатор межсетевого экрана позволяет создавать общие правила и применять их к групповым объектам, применяя правило к любому активу в группе. Это позволяет использовать один и тот же набор правил для схожих политик, воздействующих на различные сегменты сети. Можно даже создать глобальную политику, которая будет применяться ко всей сети, а затем уточнять ее по мере продвижения к каждой подсети.

Будьте осторожны с вложением групп объектов друг в друга. Это может выглядеть как чистое управление межсетевым экраном, но при росте организации это может создать проблемы и усложнить управление изменениями. В итоге могут возникнуть противоречивые правила, если не успевать за практикой документирования.

Источник: 20 Firewall Management Best Practices for Network Security

Решение по теме
FireFlow
FireFlow
AlgoSec FireFlow помогает быстро обрабатывать и внедрять изменения, вносимые в политики сетевой безопасности, а значит — оперативно и гибко реагировать на требования бизнеса.
Firewall
Firewall Analyzer
Firewall Analyzer
AlgoSec Firewall Analyzer помогает составлять и анализировать комплексные схемы политик безопасности в локальных, облачных и гибридных сетях.
Firewall
Будьте в курсе последних новостей и мероприятий Oberig IT
Свяжитесь с нами, если необходимо защитить бизнес или укрепить инфраструктуру вашей компании.
Свяжитесь с нами, если необходимо защитить бизнес или укрепить инфраструктуру вашей компании.
Связаться
Украина
+38 044 594-54-61
info.ua@oberig-it.com
г. Киев, ул. Николая Пимоненко 13, корпус 8С, офис 21/22, 04050
Казахстан
+7 701 221 3145
info.kz@oberig-it.com
г. Астана, ул. Кунаева 2, БЦ "ССС", 6 этаж, 010000
Молдова, Грузия, Армения, Румыния
+373 686 76535
md@oberig-it.com
Молдова, г. Кишинёв, ул. Колумна 174, MD2004
Азербайджан
+994 50 6826105
info.az@oberig-it.com
г. Баку, пр-кт Ходжалы 37, Demirchi Tower, 15 этаж, AZ1025
Польша
+48 505 379 949
info.eu@oberig-it.com
г. Люблин ул. Хуго Коллатая д.6, блок 3, 20-006
Узбекистан, Кыргызстан, Таджикистан, Туркменистан
+998 92 088 49 62
info.uz@oberig-it.com
Свяжитесь с нами
Обратная связь со спикером