Как программно-определяемый периметр защищает от распространенных угроз

Новая парадигма программно-определяемого периметра (Software-Defined Perimeter, SDP) базируется на нулевом доверии к удаленному доступу и заменяет широкий сетевой доступ дозированным доступом к важным ИТ-ресурсам на основе идентификации, пишет на портале eWeek Итей Богнер, бывший генеральный директор Meta Networks, а ныне вице-президент Proofpoint по продуктам с нулевым доверием.

Не так давно работа велась в основном в офисах. Однако сегодня она выполняется главным образом удаленно. Во всяком случае, на удаленную работу приходится значительная доля времени. Мы подключаемся к сети, находясь в аэропортах, кафе, отелях и поездах. Многие штатные или нанятые по контракту сотрудники работают в основном удаленно из дома или коллективно используемых офисов типа WeWork.

Такое изменение ситуации влечет серьезные последствия для безопасности предприятия, построенной на защите периметра. Самым распространенным решением для обеспечения безопасного удаленного доступа являются виртуальные частные сети (VPN). Они предоставляют удаленным сотрудникам доступ ко всей корпоративной сети, включая размещенные в ней приложения и данные. Эта устаревшая идея, будто пользователю локальной сети можно доверять, предоставляет злоумышленникам большую площадь для атак.

К счастью, новая парадигма SDP базируется на нулевом доверии к удаленному доступу и заменяет широкий сетевой доступ дозированным доступом к важным ИТ-ресурсам на основе идентификации. Попутно SDP защищает предприятия от широкого спектра угроз и используемых преступниками способов проникновения в сети.

Ниже перечисляются восемь распространенных угроз, от которых недостаточно защищают корпоративные VPN и которым эффективно противостоит SDP.

1. «Человек посередине». При такой атаке преступник вторгается в обмен информацией между пользователем и приложением. Он либо подслушивает, либо выдает себя за одну из сторон. SDP и VPN обеспечивают защиту от подобных атак, направляя сетевой трафик по зашифрованному туннелю. Однако SDP непрерывно защищает веб-трафик и доступ в корпоративную сеть. Многие VPN-решения используют разделение туннеля, чтобы направлять веб-трафик напрямую ради снижения расходов и сокращения задержки. Это делает оконечные точки уязвимыми. SDP защищает открытые оконечные точки.

2. Перехват DNS-запросов. Это еще одна опасность, связанная с использованием публичных сетей Wi-Fi. Злоумышленники могут подменять ответы на DNS-запросы, перенаправляя жертвы на вредоносные сайты. Это достигается с помощью вредоносного кода или модификации сервера. Получив контроль над DNS, можно направлять пользователей на веб-страницу, которая выглядит как запрашиваемая, но содержит дополнительный контент (например, рекламу), вредоносный код или стороннюю поисковую машину. Постоянно работающее SDP-решение на базе архитектуры «сеть как сервис» использует курируемый, защищенный сервис DNS.

3. Удаление SSL. Данный вид атаки типа «человек посередине» переводит обмен информацией между оконечной точкой и сервером из зашифрованного в незашифрованный, чтобы иметь возможность читать контент. Одним из способов его предотвращения является установка расширения браузера HTTPS Everywhere, которое использует протокол HTTPS везде, где возможно, и не позволяет посторонним переходить на HTTP. SDP также предотвращает подобную угрозу, направляя весь трафик по зашифрованному туннелю.

4. DDoS. При распределенной атаке типа «отказ в обслуживании» (DDoS) приложение становится недоступным в результате перегрузки запросами. Поскольку атака распределенная, ее трудно остановить. Она организуется с целью не допустить легитимного использования сервиса.

Существуют два вида DDoS-атак. Одни вызывают крах сервисов, другие захлестывают их запросами. Наиболее серьезной является распределенная атака. SDP-решения способны предотвратить оба вида DDoS-атак, защищая не устройство конечного пользователя, а приложение. В модели SDP приложения (и обеспечивающая их работу инфраструктура) не подключены к Интернету напрямую. SDP-решение выступает в роли шлюза, который предотвращает неавторизованный доступ.

5. Сканирование портов. Хакеры используют сканирование портов для выявления открытого сетевого порта, который можно использовать для атаки. Имеются две основные проблемы, связанные со сканированием портов, которые необходимо иметь в виду администраторам безопасности. Во-первых, безопасность и стабильность открытых портов и программы, отвечающей за предоставление сервиса. Во-вторых, безопасность и стабильность операционной системы, запущенной на хосте через открытый или закрытый порт. Поскольку SDP-решение изолирует все сетевые ресурсы от Интернета, хакеры не могут использовать сканирование портов для проникновения в сеть.

6. Червеобразные эксплойты. Подобно уязвимости BlueKeep, наделавшей недавно немало шума, черви — это эксплойты, которые перемещаются с одной машины на другую. Почему такой ажиотаж? Потому что для заражения пользователю достаточно войти в сеть, доверенную или не доверенную. Иными словами, обычные платформы защиты оконечных точек, такие как антивирус и EDR, не способны предотвратить данный тип заражения. Не поможет и обучение пользователей соблюдению требований безопасности, поскольку для заражения от пользователя не требуется никаких действий. Хватит того, что он подключит свой ноутбук или смартфон к сети, в которой уже находится зараженное устройство. Поскольку черви распространяются по сети, в большинстве случаев корпоративный брандмауэр или VPN не могут сдерживать эксплойты вроде BlueKeep. SDP с нулевым доверием присваивает пользователям уникальные фиксированные идентификаторы и предоставляет им доступ только к тем ресурсам, в которых они нуждаются. Таким образом, зараженное устройство окажет очень незначительное воздействие на сеть в целом.

7. Атаки методом «грубой силы». При таких атаках, как и в случае с DDoS, хакер пытается получить доступ к сети или приложению посредством повторяющихся попыток регистрации. SDP-решение немедленно обнаружит неудавшиеся попытки получить доступ и отметит подозрительное местоположение или время суток, изменения состояния устройства и отсутствие активного антивируса в оконечной точке. В результате в доступе будет отказано.

8. Унаследованные приложения. Многие унаследованные приложения не предполагали доступа к ним через Интернет. Например, у них отсутствует базовая защита, которая является само собой разумеющейся для современных приложений типа SaaS. Ограничение доступа к унаследованным приложениям с помощью SDP-решения изолирует их от корпоративной сети и Интернета и добавляет адаптивный контроль с целью снижения риска.

Постоянно работающие SDP-решения защищают шлюзы на уровне приложений как на входе в облачную инфраструктуру, так и внутри нее. Обладая возможностями шифрования, гарантирующими, что даже сторонние провайдеры приложений не получат доступа к обмену информацией, SDP обеспечивает надежную защиту периметра, которая идеально подходит использующим облака организациям.