Что такое utm Huawei

Русские Блоги

Унифицированное управление угрозами UTM (Unified Threat Management), объединяющее функции системы обнаружения вторжений IPS, антивирусного шлюза AV, управления поведением в Интернете и атаки DDOS, предоставляет мощное решение для более эффективного решения угроз как внутри, так и за пределами предприятия. гарантия.

Технология обнаружения и защиты от вторжений

Вторжение относится к несанкционированным попыткам доступа к ресурсам информационной системы и подделки данных в информационной системе, что делает информационную систему ненадежной или непригодной для использования. Вторжение пытается подорвать целостность, конфиденциальность, доступность и управляемость информационных систем.

Типичное поведение вторжения:

• Подделка веб-страниц
• Взломать системный пароль
• Копировать / просматривать конфиденциальные данные
• Используйте инструмент сетевого анализатора, чтобы получить пароль пользователя
• Доступ к неавторизованным серверам
• Другое специальное оборудование получить оригинальный сетевой пакет
• Внедрить программу-троянца в хост

Система обнаружения и обнаружения вторжений

Обнаружение вторжения (ID, Intrusion Detection). Процесс мониторинга поведения вторжения в режиме реального времени путем мониторинга различных операций, анализа и аудита различных данных и явлений. Это активная и динамичная технология защиты безопасности. Обнаружение вторжения включает санкционированное и несанкционированное вторжение, такое как: нарушение политик безопасности, олицетворение других пользователей, раскрытие системных ресурсов, злонамеренное поведение, незаконный доступ и злоупотребление полномочиями со стороны авторизаторов и т. Д.

Обзор HUAWEI ULTIMATE: аналог Apple Watch, только лучше?

Система обнаружения вторжений (IDS, Intrusion Detection System): все программные и аппаратные системы, используемые для обнаружения вторжений. Система обнаружения вторжений может динамически собирать большой объем ключевой информации через сеть и компьютер, а также своевременно анализировать и оценивать текущее состояние всей системной среды. Как только обнаруживаются любые нарушения политик безопасности или следы атак на систему, немедленно активируется соответствующая защита. Механизм для ответа, например, сообщить о случае администратору сетевой безопасности через консоль или по электронной почте, немедленно остановить вторжение, завершить работу всей системы, отключить сеть и т. Д.

Брандмауэр и система обнаружения вторжений

• Брандмауэр представляет собой последовательное устройство, которое требует быстрой пересылки и не может быть проверено подробно
• Брандмауэр не может правильно проанализировать вредоносный код, смешанный в разрешенном потоке данных приложения, и не может обнаружить вредоносные операции или неправильные действия со стороны инсайдеров.
• Брандмауэр относится к крупномасштабному контролю доступа, а IDS — к детализированному оборудованию обнаружения. С помощью IDS вы можете более точно контролировать сеть

Система предотвращения вторжений

Система предотвращения вторжений (IPS, Intrusion Prevention System): Система предотвращения вторжений — это система обнаружения вторжений, которая может блокировать в режиме реального времени при обнаружении вторжения. IPS — это интеллектуальный продукт для обнаружения и защиты от вторжений, который может не только обнаруживать случаи вторжения, но также останавливать возникновение и развитие поведения вторжения в режиме реального времени с помощью определенного метода реагирования и защищать информационную систему от существенных атак в режиме реального времени. , IPS делает IDS и межсетевой экран унифицированными.

ЧТО такое UTM метки и КАК их использовать? ПРОСТЫМ ЯЗЫКОМ!

IPS обычно имеет два метода развертывания в сети:

• байпас:

1. SPAN: подключен к коммутатору, зеркалирование портов осуществляется через коммутатор.
2. TAP: развертывается на границе сети через выделенное устройство зеркалирования трафика. То есть исходный поток является нормальным, и в то же время поток выделяется для анализа испытательным оборудованием.

• Прямо: встроенный: соединен последовательно на границе сети, развернут онлайн и заблокирован онлайн.

Технические характеристики системы предотвращения вторжений

• Режим онлайн: он может позволить IPS блокировать обнаруженное поведение сетевых атак в режиме реального времени, избежать атак обнаружения IDS, но не может предотвратить дефекты поведения атаки в режиме реального времени и максимально повысить безопасность системы.
• Самообучение и самоадаптация: IPS может минимизировать упущения и ложные срабатывания системы за счет самообучения и самоадаптации, снижая влияние на бизнес.
• Пользовательские правила: IPS может настраивать правила предотвращения вторжений для максимального реагирования на последние угрозы.
• Service Awareness (SA, Service Awareness): позволяет IPS обнаруживать аномалии и атаки на уровне приложений.
• Блокировка в режиме реального времени: поскольку IPS применяет онлайн-развертывание, он может блокировать атаки в режиме реального времени, обнаруживая их, что максимально повышает безопасность защищаемых объектов.

Gateway антивирусная технология

Основная реализация антивируса Gateway

• Прокси-метод сканирования: Передайте все пакеты данных, которые должны прозрачно пройти шлюз для обнаружения вирусов, в собственный стек протоколов шлюза. После того как все файлы будут кэшированы через собственный стек протоколов шлюза, они отправляются в механизм обнаружения вирусов для обнаружения вирусов.
• Метод потокового сканирования: использование технологии определения состояния и технологии анализа протокола, простое извлечение характеристик файла и сопоставление с локальной библиотекой сигнатур.
• Агентский антивирусный шлюз может выполнять более сложные операции, такие как распаковка и распаковка, с высокой частотой обнаружения. Однако из-за полного файлового кэша его производительность и системные издержки относительно велики. Антивирусный шлюз, основанный на сканировании потоков, имеет высокую производительность и низкие издержки, но частота обнаружения этого метода ограничена, и он не может работать с файлами, обрабатываемыми упаковкой и сжатием.

Шлюз антивирус типичная технология

• Технология идентификации файлов. Технология идентификации файлов позволяет точно определить тип файла. Есть много способов определить тип файла, например, имя суффикса или истинное содержимое файла. Имя суффикса может быть изменено пользователем, поэтому оно ненадежно. Надежнее идентифицировать истинное содержимое файла. Об идентификации истинного типа файла обычно можно судить по первым 64 байтам файла.
• Технология распаковки. В практических приложениях вредоносный код обычно упаковывается, чтобы скрыться. Чтобы механизм обнаружения вирусов обнаруживал функции вредоносного кода, механизм обнаружения вирусов должен сначала использовать технологию обстрела, чтобы выполнить операцию обстрела.
• Технология декомпрессии: ни система обнаружения вторжений, ни система обнаружения вирусов не могут непосредственно обнаруживать сжатые файлы, поэтому необходима технология декомпрессии, чтобы сначала распаковать файлы, а затем реализовать операцию обнаружения вирусов.
• Технология статической идентификации. Использование технологии статической идентификации для извлечения исходных фрагментов данных из тела вируса и информации о местонахождении фрагментов позволяет осуществлять быстрый статический анализ с высокой точностью обнаружения вирусов и меньшим количеством ложных срабатываний.
• Технология динамической виртуальной машины: с использованием технологии динамической виртуальной машины, во-первых, создайте виртуальную среду выполнения, которая может полностью выполнять исполняемые и управляемые программы из набора команд x86, и позволяйте обнаруживаемой программе непосредственно выполнять некоторые инструкции в среде, чтобы реализовать динамическое обнаружение вирусов. ,

Общий процесс настройки функции межсетевого экрана UTM

Базовая конфигурация UTM

Перед использованием функции UTM брандмауэра сначала необходимо выполнить следующую базовую настройку:

1. Подать заявку и активировать лицензию
2. Обновление базы знаний, вирусной базы

Источник: russianblogs.com

Что такое UTM, NGFW и чем они отличаются

На появление всё более сложных угроз отрасль реагировала новыми способами защиты. Однако, традиционный подход к решениям сетевой безопасности не мог масштабироваться в достаточной мере для быстрорастущего бизнеса. Сложность управления средствами сетевой безопасности становилась всё выше, так как инфраструктура состояла из множества разрозненных фрагментов, пытающихся охватить каждый вектор потенциальной атаки. Очевидно, требовался другой подход.

Как появление UTM облегчило защиту корпоративных сетей

В 2003 году появились первые комплексные средства защиты. С лёгкой руки аналитиков консалтинговой компании IDC их начали называть универсальными шлюзами безопасности (UTM, unified threat management). По сути, этим термином обозначили устройство «всё в одном», объединившим в себе возможности антивируса, VPN, межсетевого экрана, контент- и спам-фильтров, а также систем обнаружения и предотвращения вторжений (IDS/IPS).

Ключевое преимущество такой технологии очевидно: вместо того, чтобы администрировать парк отдельных устройств, проще воспользоваться единым решением для защиты от всевозможных атак. Тем более, что производители предусмотрели централизованные интерфейсы управления разными службами, политиками и правилами, а также возможность гибко настраивать оборудование. Комплексное решение открыло и многие другие возможности:

• Межсетевые экраны в универсальных шлюзах безопасности защищают входящий и исходящий трафик от разнообразных угроз и типов атак;
• Различные антивирусные службы, средства защиты от шпионских программ и рекламного ПО могут работать одновременно и останавливать атаки на сетевом шлюзе;
• Система обнаружения и предотвращения вторжений (IDS/IPS) блокирует использование уязвимостей сети;
• Спам-фильтр выявляет и блокирует нежелательные электронные письма, спам и фишинговые атаки;
• Контент- и веб-фильтры позволяют управлять доступом к сайтам и данным с помощью единой панели управления;
• VPN упрощает работу с удалёнными офисами и сотрудниками;
• Упрощение инфраструктуры позволяет задействовать динамическую маршрутизацию и маршрутизацию на основе политик, а также установить несколько подключений к интернету внутри одной защищённой сети;
• Управление пропускной способностью и технологии предоставления разным классам трафика различных приоритетов в обслуживании (QoS) упрощают контроль над потоками данных.

Эти возможности, реализованные в рамках одного устройства, повысили общий уровень сетевой безопасности, снизили сложность управления ИТ-инфраструктурой и сократили расходы на её организацию и обслуживание. Благодаря этому многие способы защиты впервые стали доступны малому бизнесу и другим предприятиям, не имеющим возможности привлечь дорогостоящих специалистов по информационной безопасности.

Как появилось новое поколение брандмауэров

Новые итерации защитных решений ещё сильней расширили возможности некоторых UTM. В последних поколения производители постоянно совершенствуют обмен данными между сервисами и улучшают интеграцию со сторонними продуктами. В устройствах теперь применяется машинное обучение, искусственный интеллект и средства автоматизации, в том числе для оперативного реагирования на инциденты. Ранним версиям подобного оборудования, получившего расширенные возможности в сравнении с традиционными UTM, консалтинговое агентство Gartner — ключевая исследовательская компания на рынке ИТ — дала отдельное название ещё в 2011 году. Этот тип устройств назвали NGFW (next-generation firewall) — межсетевым экраном нового поколения.

Выделить такое оборудование в отдельный класс средств защиты аналитики решили, обнаружив появление всё больших различий между решениями «всё-в-одном». Тогда они посчитали, что традиционные UTM больше подходят для малого и среднего бизнеса, но не для корпораций. Межсетевые экраны, ориентированные на филиалы компаний, по их мнению, напротив отдалились от малых предприятий и сконцентрировались на внедрении решений для крупных организаций.

В чём разница между UTM и NGFW

В немалой степени появлению нового класса межсетевых экранов способствовали две ключевые проблемы в архитектуре универсальных шлюзов безопасности. Первая сложность заключалась в медленной работе устройства. Причина была в последовательной передаче пакетов между всеми движками: пока один из них не завершал работу, другой к ней не приступал.

Из-за этого количество средств защиты, встроенных в оборудование, самым непосредственным образом отражалось на скорости работы: чем больше их было, тем медленней работал UTM. Чтобы как-то решить эту проблему и повысить скорость обмена данными, пользователям оставалось только отключать часть возможностей — например, IPS или антивирус.. Очевидно, это не позволяло в полной мере использовать потенциал оборудования.

Межсетевые экраны нового поколения решили эту проблему с помощью FPGA-чипов, параллельно работающих с одним и тем же трафиком. Для этого каждый чип использовали для своих задач: один процессор прошивали сигнатурами антивируса, другой — сигнатурами IPS и так далее. Чтобы такой чип начал выполнять другие функции, его можно перепрограммировать в любой момент. Таким образом и прошиваются все обновления в NGFW.

Другая проблема UTM заключалась в том, что выполнение любых файловых операций зависело от работы жёсткого диска. Учитывая среднюю скорость чтения с него, универсальный шлюз безопасности и близко не мог справляться с большими объёмами данных. Если 500 человек в компании решили бы скачать папку с файлами по сети Microsoft, то универсальный шлюз безопасности бы просто загрузился по максимуму и затем перестал работать. В лучшем случае, при наличии технологий вроде antivirus-bypass и ips-bypass, он бы автоматически отключился после превышения возможностей аппаратной части. По этой причине UTM в основном и использовали в небольших компаниях, иначе по мере роста скорости сети в UTM приходилось выключать один движок за другим, пока не останется одна только маршрутизация и пакетный межсетевой экран.

В брандмауэрах нового поколения эта проблема была решена в 2007 году. Тогда первый производитель NGFW добился того, что файлы больше не сохранялись на диск. Все операции по разбору трафика, раскодированию и сборке файлов для анализа антивирусом теперь происходили в памяти, что существенно увеличило производительность средств защиты и сделало их работу независимой от жёстких дисков.

Какие у NGFW есть возможности

Межсетевые экраны нового поколения объединили большее число средств защиты, чем UTM. Среди них можно выделить следующие преимущества:

• Автоматическая связь между сервисами в режиме реального времени позволяет изолировать устройства и помещать их в карантин после инцидента, пока ИТ-отдел не отреагирует на ситуацию;
• Управлять всем необходимым — политиками NAT, фильтрацией контента, группами пользователей, списками управления доступом, Wi-Fi и многим другим — можно с одного экрана;
• Технологии облачной песочницы позволяют помещать в карантин и «детонировать» потенциально опасные файлы;
• Особое внимание уделяется поддержанию производительности сети даже при одновременной работе нескольких комплексных служб безопасности;
• В NGFW интегрирована система обнаружения и предотвращения вторжений с технологией глубокого сканирования пакетов данных;
• Межсетевые экраны нового поколения обеспечивают стабильную производительность и простоту масштабирования по мере роста организации.

Наличие широких возможностей не имеет никакого значения, когда каждым продуктом нужно управлять по отдельности. Это не только затрудняет поддержание политик и правил в актуальном состоянии, но и приводит к несогласованной работе служб. Поставщик брандмауэра должен предлагать единый инструмент управления, позволяющий администратору легко вносить изменения в работу сервисов и сразу же распространять их по сети. Поэтому производители NGFW особое внимание уделяют единому интерфейсу контроля и управления (single-pane-of-glass). Основная задача этой разработки — дать администраторам доступ ко всем нужным данным и возможностям на одном портале или странице, чтобы при управлении сетью не нужно было переключаться между вкладками.

Когда новое поколение заменит старое

Несмотря на то, что NGFW — это «межсетевой экран нового поколения», от этого термина последние годы отходит и сама компания, внедрившая термин на рынок. Два года назад в отчёте «Магический квадрант Gartner для межсетевых экранов уровня предприятия» аналитики агентства отметили, что все производители уже предлагают в своих устройствах и IDS/IPS, и «песочницу», и инструменты контроля пользователей и приложений, и стороннюю аналитику угроз. По их мнению, термин «межсетевой экран корпоративного класса» и «next-generation firewall» уже стали синонимами, а потому термин «NGFW» более не актуален. В отчёте компания отмечает, что массовое замещение традиционных межсетевых экранов новыми произойдет уже в 2020-2021 году.

Источник: www.smart-soft.ru