Журнал "Information Security/ Информационная безопасность" #6, 2025

дополнительным контекстом, который SIEM-система будет учитывать при ана- лизе. Например, если обрабатывается событие, зафиксированное системой IDS/IPS внутри NGFW, то помощью выступит указание, какая именно сигна- тура сработала, насколько она была критична и к какой категории относи- лась: был ли это фишинг, DoS или иная атака. При этом можно настраивать пра- вила так, чтобы в систему передавались только критичные атаки, а можно жур- налировать любые сработки защитных механизмов. Второй этап: автоматическое реагирование с помощью IRP или SOAR Системы IRP и SOAR выступают свя- зующим звеном, которое помогает авто- матизировать узлы ИБ-инфраструктуры. Они получают информацию от SIEM о произошедших инцидентах, о том, какие цифровые активы были затронуты, какие сетевые устройства оказались вовлече- ны, после чего могут передать на NGFW обновленные правила. Например, запре- тить трафик от определенного хоста, который, как считает система, может быть потенциально уязвимым, и поэтому его необходимо изолировать для даль- нейшего анализа последствий и рас- следования. Третий этап: обогащение информации через TI-платформы Платформы Threat Intelligence агреги- руют данные о киберугрозах, причем на самом разном уровне: от операционного до стратегического. Для NGFW исполь- зуются индикаторы компрометации (IoC): URL, хэши ВПО, IP-адреса, доменные имена. По итогам расследования данные о вредоносных IoC поступают на NGFW, который в дальнейшем учитывает полу- ченные знания и на их основании фильт- рует трафик, например может запретить тот IP, с которого прежде был зафикси- рован вредонос. Kill Chain Kill Chain – это модель, которая опре- деляет путь злоумышленника, начиная от начала атаки до момента ее завер- шения тем или иным исходом. Суще- ствует несколько фреймворков Kill Chain, один из самых популярных MITRE ATT&CK – база знаний, раскрывающая тактики и техники злоумышленников: как они разведывают ИТ-инфраструкту- ру; как получают первоначальный доступ; какое деструктивное воздействие могут оказать, например зашифровать данные или уничтожить всю инфра- структуру. В прошлом году "Код Безопасности" разработал собственный сервис моде- лирования кибератак, который работает по матрице MITRE ATT&CK, позволяя ИБ-специалистам получить знания о методах атак. Причем с помощью сер- виса можно посмотреть конкретно те техники, которые характеры для опре- деленной отрасли. В контексте SOC Kill Chain необходим для того, чтобы предотвращать инци- денты. При этом достаточно обнаружить одно действие, чтобы уберечь компанию от дальнейшего проникновения. Но если цель SOC заключается в расследовании инцидентов, то, конечно, необходимо знать как можно больше о потенциаль- ных действиях хакеров, – MITRE ATT&CK как раз описывает техники атак, кото- рыми обычно пользуются злоумышлен- ники. NGFW должен видеть максимальное число сетевых техник по матрице MITRE ATT&CK. При этом можно видеть и смежные техники за счет имеющихся механизмов безопасности – по данным "Кода Безопасности", межсетевые экра- ны нового поколения покрывают от 40% до 70% всех техник по модели MITRE ATT&CK. Как NGFW обнаруживает вредоносные активности? Здесь есть несколько вариантов. Пер- вый – использование индикаторов ком- прометации: хэши, доменные имена, IP- адреса и т. д. Второй способ: сигнатурный анализ, как правило, через систему IDS/IPS, которая имеет базу известных сигнатур для разных уязвимостей или вредоносного ПО и легко обнаруживает угрозы на уровне сети. Третий – поведен- ческие паттерны. В NGFW "Континент 4" 1 от "Кода Без- опасности" используется модуль пове- денческого анализа, который проверяет сетевой трафик и работает с протоколь- ными атаками: DoS, сканирование, ано- малии и многое другое. На уровне SOC это можно представить в виде Kill Chain, когда хакеры на разных этапах выполняют определенные дей- ствия: если эксплуатируют уязвимость в публичном приложении, тогда IDS/IPS блокирует такую попытку; если хакер уже проник в инфраструктуру, то он может связываться с командным центром по IP-адресу, и подобная активность будет блокироваться на уровне индикатора компрометации. Если зло- умышленники поднимают дополнительный туннель, через который выводят данные, тогда поведенческий анализатор может заблокировать туннель как аномалию. Итог Интеграция NGFW в SОC – это не только передача событий от межсете- вого экрана в SIEM. Такое мнение рас- пространено, но оно слишком упрощает реальную картину. По факту это глубо- кий процесс, который представляет собой непрерывный цикл интеграции и постоянного взаимодействия. Сначала сетевой трафик передается в SIEM, при этом неважно, происходит ли процесс напрямую через NGFW или с "пересад- кой" на NetFlow. Затем данные анализи- руются специалистами SOC, и принима- ется решение: свидительствует ли иссле- дуемая совокупность событий о произо- шедшем инциденте ИБ. По результатам формируются IoC, которые в дальней- шем отправляются на NGFW. Совмест- ная работа NGFW и SOC невозможна без интеграции с другими ИБ-продукта- ми: TI-платформами, NetFlow, SOAR и многими другими. Только при создании комплексной системы с непрерывными циклами обмена данными и взаимным обогащением информации разными ком- понентами можно построить надежную ИБ-систему и корректно функционирую- щий SOC-центр. В иных случаях есть вероятность получить полуфабрикат, который не сможет полноценно проти- востоять многочисленным кибератакам. В этом контексте роль NGFW посте- пенно смещается от статического сред- ства защиты периметра к динамическому инструменту управления рисками. Причем эффективность NGFW тогда определяется не количеством политик или сигнатур, а скоростью замыкания цикла: от сетевого события – к контексту, от контекста – к решению, от решения – к обновлению правил на периметре. Оперативность и согласованность таких действий отли- чают зрелый SOC от формального набора средств мониторинга. l • 39 NGFW И ЗАЩИТА ПЕРИМЕТРА www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ КОД БЕЗОПАСНОСТИ см. стр. 78 NM Реклама Рис. 1. "Континент 4 IPC-R5000". МЭ L4 – до 110 000 Мбит/с, МЭ L7 – до 40 000 Мбит/с, NGFW – до 13 000 Мбит/с Рисунок: Код Безопасности 1 https://www.securitycode.ru/products/kontinent-4/