Слабые стороны цепочки поставок в федеральном правительстве проявляются независимо от того, являются ли участники цепочки поставок внешними подрядчиками или другими государственными учреждениями. Устаревание устаревшей федеральной ИТ-инфраструктуры имеет большое значение, как и постоянная неопределенность в отношении процедур реагирования, когда подозреваются или даже фактически идентифицируются индикаторы атаки (IoA) или индикаторы компрометации (IoC).В отчете GAO США за 2016 год было обнаружено, что политика Министерства обороны США неясна в отношении ролей и обязанностей, а также обязанностей командования по поддержке гражданских властей во время кибер-инцидента. ¹² Отсутствие ясности распространяется и на определение того, кто несет ответственность за защиту частной телекоммуникационной и энергетической инфраструктуры. По словам Нормана К. Бэя, председателя Федеральной комиссии по регулированию энергетики, «если бы я столкнулся с киберугрозой, о которой мне сообщили бы в письме завтра, я бы мало что мог сделать на следующий день, чтобы гарантировать, что эта угроза была эффективно устранена с помощью целевые утилиты.” ¹³

Еще одна критическая инфраструктурная область, которой уделяется много внимания, особенно на уровне штата и на местном уровне (умный город), требует работы по государственно-частному партнерству в сфере транспорта. Кибербезопасность транспортных средств — это область, в которой Министерство транспорта США (DoT) не уделяет должного внимания. «Современные автомобили содержат множество интерфейсов — соединений между автомобилем и внешними сетями, — которые делают системы автомобиля, в том числе системы, критически важные для безопасности, такие как тормозная система и рулевое управление, уязвимыми для кибератак.Исследователи показали, что эти интерфейсы — если они не защищены должным образом — могут быть использованы посредством прямого физического доступа к транспортному средству, а также удаленно через беспроводные каналы ближнего и дальнего действия». ¹⁴

Другой отчет GAO показал, что большая часть расходов федерального правительства на ИТ (75%) посвящена эксплуатации и обслуживанию, а не разработке, модернизации и усовершенствованию, расходы на которые с 2010 года сократились на 7,3 миллиарда долларов. Примечательно, что некоторые системы (в том числе связанные с операциями ядерных сил) по-прежнему зависят от 8-дюймовых гибких дисков.Весьма вероятно, что подрядчики, связанные с такими системами, также до сих пор привязаны к устаревшей (50-летней давности) технике. Системы, имеющие решающее значение для граждан США, включают индивидуальные основные файлы Министерства финансов США — авторитетный источник данных для отдельных налогоплательщиков. Ему около 56 лет, и планов по его замене нет. ¹⁵

В идеале анализ затрат/рисков/выгод поможет лицам, принимающим решения в правительстве, определить, когда следует работать над структурой, поддерживающей – как в финансовом, так и в информационном отношении – сложную систему пособий и выплат, на основе которой работает наше федеральное правительство. Например, атаки на систему ПИН-кода электронной регистрации IRS показывают, как хакеры и другие преступники могут монетизировать украденные личные данные. Во время атаки 2016 года были предприняты несанкционированные попытки с помощью ботов сгенерировать PIN-коды электронной подачи для 464 000 украденных SSN. Хотя только 101 000 таких PIN-кодов были успешно сгенерированы до того, как автоматизированный процесс был остановлен, ¹⁶ , которые по-прежнему представляют многих граждан, которые были украдены из ожидаемых налоговых деклараций, и способствовали потере доверия к правительству США.

Согласно исследованию Центра цифрового правительства, на уровне штатов и местных органов власти приоритетом расходов номер один является кибербезопасность.Для штатов следующим набором приоритетов являются облачные вычисления с общими услугами, мобильные приложения и набор ИТ-персонала. Государства внедряют технологии 21 века в свою инфраструктуру. Инвестиции в политику, практику и людей должны соответствовать этим изменениям. Однако цифровая грамотность и повышение квалификации персонала по-прежнему занимают самое низкое место с точки зрения приоритетов. ¹⁷

Cyber ​​Storm

Многие федеральные, государственные и местные правительственные учреждения и организации частного сектора периодически (например,g., ежегодные) учения по аварийному восстановлению для обучения персонала тому, что следует делать во время аварийных ситуаций, а также для выявления и устранения проблем, возникающих при моделировании, чтобы они не возникали во время реальных аварийных ситуаций. По аналогии с этими учениями по планированию на случай стихийных бедствий DHS проводит серию учений по кибербезопасности под названием Cyber ​​Storm с 2006 года. и организации частного сектора.Целью учений является проверка и оценка механизмов реагирования, координации и восстановления в ответ на смоделированные кибер-события. Сценарии учений включают воздействие или разрушение инфраструктуры в секторах энергетики, информационных технологий, транспорта и телекоммуникаций. Результаты показали, где коммуникация работала эффективно, а где коммуникацию и планирование можно улучшить. ¹⁹

Поскольку безопасность становится все более серьезной проблемой для всех организаций, ожидается, что такие учения, как Cyber ​​Storm, станут такими же обычными, как учения по планированию действий в случае стихийных бедствий.Как минимум, все организации должны просмотреть отчеты о действиях после кибер-шторма, чтобы определить области, которые им, возможно, придется учитывать в своих планах обеспечения безопасности.

Выводы федерального правительства

Нарушение OPM вновь привлекло внимание к защите информации в федеральных агентствах. В ноутбуках используются общие карты доступа (CAC) ²⁰ или карты PIV ²¹ для создания VPN для сетей агентств. Государственные служащие и подрядчики должны ежегодно проходить инструктажи/курсы по безопасности.Эти курсы определяют, как данные могут быть скомпрометированы (например, кража мобильного телефона или планшета, серфинг через плечо), контрмеры (например, защищенный паролем мобильный телефон, зашифрованные данные на планшете) и что делать в случае (возможного) взлома.

Подрядчики должны предоставить план безопасности, обычно основанный на NIST SP800-53, чтобы определить, как они защищают PII в своих системах, поддерживающих правительство. Кроме того, агентства начинают предъявлять подрядчикам требование о том, что в случае взлома их систем подрядчик несет ответственность за кредитный мониторинг всех потенциально затронутых лиц в течение трех лет.Эти затраты могут исчисляться миллионами долларов после взлома.

Отделение систем/информации, доступных через Интернет, от систем/информации с классификацией конфиденциальной информации «Только для служебного пользования» или выше, по-видимому, все еще находится в стадии разработки. Еще одна область, где требуется работа по обеспечению безопасности, связана со целевым фишингом. Когда по телефону запрашивают некоторую информацию, связанную с человеком, как специалист по обслуживанию клиентов проверяет, что запрос действителен и должен быть выполнен?

Правительство штата

В конце 1990-х и начале 2000-х годов широко продвигалось технологическое экономическое развитие, чтобы повысить финансовую устойчивость штатов США, особенно среди тех штатов в экономически усталых регионах, которые теряли рабочие места и импульс : лента из ржавчины (производство и стальные ленты) и хлопчатобумажная лента. Государства вдоль обоих побережий, казалось, имели правильное сочетание телекоммуникационной инфраструктуры, образованной рабочей силы, инновационных компаний, рискового капитала и географической привлекательности, чтобы конкурировать в 21 веке. В частности, последние государства оказались менее подвержены конкуренции со стороны богатых рабочей силой и менее регулируемых экономик (особенно стран БРИК: Бразилия, Россия, Индия, Китай) в отношении исторических экономических бастионов, таких как производство, пищевая промышленность и центры обслуживания клиентов. .На круглых столах по экономическому развитию часто можно было услышать такие модные словечки, как вездесущие вычисления , всегда на , 24/7 , онлайн/инлайн , собрать один раз/использовать много . Правительствам штатов было предложено делиться информацией о гражданах между организационными структурами, что звучало легко, пока новаторы не осознали последствия недостаточного управления данными или его отсутствия. Соглашения об именах и правописании, а также поля идентификации не были стандартизированы, что позволяло использовать несколько записей для одного и того же человека или адреса, которые появлялись в системе как уникальные.Существующие правила обмена информацией не существовали или были запрещены. Смартфонов еще не было, но люди с радостью носили с собой пятифунтовые (как минимум) ноутбуки, чтобы найти точку доступа Wi-Fi, которая была нанесена на карту и настроена для удобства.

Некоторые действующие телекоммуникационные компании пытались воспрепятствовать внедрению бесплатных общедоступных беспроводных сетей, даже несмотря на то, что стоимость базовых станций беспроводной связи упала примерно с 1000 долларов США в 1999 году до 100 долларов США в 2003 году. как массовое усилие в 2002 году по обмену сигналами в первые дни экономики совместного потребления.Тротуар возле зданий, где можно было поймать сигналы, был отмечен символами, напоминающими знаки бродяги эпохи Великой депрессии, а сама практика боевого мела сравнивалась с трейнспоттингом или самолетспоттингом (на ум также приходят пирамиды из камней для пешеходных троп). Возникли разногласия по поводу того, разрешено ли подписчикам услуг беспроводной связи, включая города и розничных торговцев, приглашать других для бесплатного обмена сигналом. Поставщики услуг, такие как AT&T Broadband и Time Warner Cable, разослали письма с угрозами закрытия учетной записи подписчикам беспроводной связи, которые заявили, что не причинят вреда и не нарушат правила, если другие в пределах 300 футов от их точки доступа смогут улавливать сигналы. ²³

Государства соревновались в определении и предоставлении услуг электронного правительства. В ежегодном обзоре цифровых государств штаты ранжировались в соответствии с их относительной сложностью предоставления услуг от граждан к правительству (C2G), даже если эти услуги были реализованы на устаревших платформах, которые в значительной степени зависели от мэйнфреймов, срок службы которых уже истек. Без достаточных бюджетных ресурсов для обновления технологий, чтобы основная основа была как бы структурно прочной, были реализованы удобные приложения как для граждан, так и для правительств (правительство-правительство или G2G). Неудивительно, что внутренние процессы, политики и обучение сотрудников не соответствовали новым возможностям для атак, созданным бурным ростом услуг электронного правительства. Системы были скомпрометированы. Произошли утечки данных, и ИТ-команды штатов стали уделять больше внимания защите того, что уже было, а не развертыванию новых инициатив. В этой технологической среде Национальная ассоциация руководителей государственных органов по информационным технологиям (NASCIO) выпустила исчерпывающий отчет ²⁴ о рисках использования беспроводной связи с рекомендациями, которые по-прежнему актуальны и, возможно, более актуальны сегодня:

■

Адрес беспроводных технологий, особенно в директивных документах, и эффективно применять их на всех уровнях организации.

■

Укажите политику WAP, которая включает регулярные проверки состояния и контрольные точки между каждой WAP и Интернетом: брандмауэры, IDS, VPN, требования аутентификации. Аутентификация должна отслеживаться индивидуально, возможно, многофакторно (в зависимости от сложности сети и степени ее сегментации) и регулярно проверяться в отношении активности системных файлов для выявления аномалий и предшествующего поведения.

■

Настройте безопасные точки доступа, изменив имена SSID по умолчанию (информация об именах по умолчанию доступна в Интернете вместе со спецификациями) на имя, которое не раскрывает лишней информации о функциональной роли точки доступа в сети, используйте надежное шифрование (для 2016 г. , хотя бы WPA2), отключите ненужные службы (например.г., Telnet, SNMP).

Государства и частный сектор в значительной степени поддерживают структуру инфраструктуры, в рамках которой города реализуют свои инициативы в области умного города. Недавний опрос NASCIO показывает, что с их большей ответственностью за общественную безопасность и коммунальные услуги только около 25% респондентов указали, что начались дискуссии об IoT. ²⁵ Государственный надзор за строительством дорог и автомагистралей, однако, дает возможность координировать деятельность нескольких инфраструктурных и эксплуатационных элементов.Например, штаты могут распорядиться, чтобы проекты расширения автомагистралей использовались как возможности для развертывания соответствующих каналов для будущих или текущих нужд, таких как телекоммуникационные линии, датчики движения и пропускной способности воды или картографические устройства ГИС. Вместо того, чтобы финансировать несколько последовательных раскопок в полосе отчуждения автомагистралей для развертывания трубопроводов, координация на уровне штата может уменьшить сбои в движении и расходы. Штаты также могут активизировать инициативы «умного города», объединяя учетные записи поставщиков, чтобы воспользоваться оптовыми скидками на виды создаваемых услуг, которые менее гламурны, но, тем не менее, необходимы для поддержания работоспособности и отказоустойчивости инфраструктуры.Хотя такие службы могут работать в фоновом режиме, например резервное копирование, восстановление и хранение данных; информационная безопасность и обнаружение инцидентов; резервирование мощности; анализ данных и отчетность; отображение конфигурации сети; управление активами; стандарты передовой практики и критерии выбора поставщиков — они создают более прочную сетку во всей взаимосвязанной системе, оптимизируют процессы поддержки и распределение технических специалистов, а также способствуют повышению эффективности затрат и производительности.

Местное самоуправление

Правительство США поощряет местные инновации посредством программ финансирования развития инфраструктуры, таких как различные инициативы в области широкополосной связи в сельских районах, осуществляемые через Министерство сельского хозяйства США (USDA).Например, в период с 2009 по 2015 год Министерство сельского хозяйства США выделило гранты Community Connect на сумму более 77 миллионов долларов США для развития широкополосной связи в сельской местности. ²⁶ Другие федеральные агентства также внесли свой вклад в создание инфраструктуры. Министерство труда США финансировало проекты по соединению компонентов рабочей силы: местных точек трудоустройства (например, Workforce One и других организаций по безработице), предприятий частного сектора и образовательных учреждений. В частности, финансирование было направлено общественным колледжам, которые могут гибко разрабатывать целенаправленные учебные программы, отвечающие потребностям отрасли, для специально подготовленных и сертифицированных технических специалистов, механиков и квалифицированных специалистов. HHS поощряет внедрение инноваций, предписывая внедрение EMR и EHR, как описано в Главе 6, WAP в медицинских учреждениях.

Внедрение постоянного уточнения руководств по регистрации, таких как кодирование конкретных видов лечения в соответствии с Международной классификацией болезней (МКБ), требуется до 1 октября 2015 г. ²⁷ Инновации HHS в области электронного Управление по делам ветеранов и подразделения (действующей) военной службы.Интерес к этому со стороны последнего, например, Министерства армии США, получил эмоциональную и клиническую поддержку, когда условия боевого дежурства требовали доступных медицинских карт, не привязанных к конкретному географическому месту. Бумажные файлы не подходили для тех, кто нуждался в немедленной медицинской помощи в боевых ситуациях, особенно когда предыдущая информация о медицинской помощи хранилась в нескольких хранилищах (например, в больницах, частных врачах и медицинских клиниках в разных местах), и не было существующих средств связи или информации. обмен каналами.Такие мандаты могут стимулировать повышенный спрос на улучшение инфраструктуры на местном уровне.

Семь городов приняли участие в конкурсе «Умные города» правительства США в надежде получить награду в размере 40 миллионов долларов (включая подсластитель в размере 10 миллионов долларов от Vulcan, Inc. в дополнение к другим корпоративным пожертвованиям частного сектора) и добились успеха в раундах проверки. Эти города сосредоточились на проблемах мобильности граждан с упором на создание интеллектуальных приложений, чтобы водители и пешеходы не испытывали неудобств.Только один из семи городов (из 78 заявок), прошедших финальный этап, по-видимому, решает проблему несоответствия между коммерческими перевозками (распределение, логистика, доставка — на общую сумму 1,4 трлн долл. США в 2014 г., или 8,3% годового ВВП) ²⁸ и некоммерческий трафик. Предлагаемая городом инициатива предполагает размещение датчиков на светофорах для повышения пропускной способности грузовых и других коммерческих транспортных средств, чтобы уменьшить как заторы на дорогах, так и связанное с этим загрязнение, выделяемое, когда такие транспортные средства простаивают в течение длительных периодов времени. ²⁹

Как и в случае с инициативами электронного правительства на государственном уровне в начале 2000-х годов, первоначальный энтузиазм вокруг концепций умного города немного поутих, поскольку городские власти и граждане осознают общую стоимость таких инициатив, непроверенную масштабируемость (и осуществимость ) некоторых продуктов и услуг Интернета вещей, а также барьеры для сотрудничества, существующие между различными организациями и заинтересованными сообществами. Сообщества находят дополнительные возможности с точки зрения охвата программы (например,ж., транспорт, парковка, освещение, водоснабжение) и географический охват (т. е. начиная с определенного района или школьного городка в качестве пилотного проекта «не конференц-зала»). ³⁰ Необходимы планирование и целостный взгляд в сочетании с четким пониманием того, какая информация и активы могут быть ценными и эффективно использоваться злоумышленниками. Надежное управление данными должно быть определено до того, как эти данные будут собраны. Кто будет просматривать эти данные? Как он будет охраняться и поддерживаться? Как будут проверяться и аутентифицироваться обновления данных, чтобы гарантировать, что изменения не являются просто симптомами спуфинговой атаки? Необходимо обсудить вопросы управления данными — наряду с вопросами безопасности, конфиденциальности, окупаемости — и сделать их неотъемлемой частью планирования действительно умного города, а не города, богатого датчиками: … «чтобы в полной мере использовать преимущества IoT, города должны интегрировать его в существующие стратегии обработки данных, одновременно решая новые задачи и постоянно совершенствуя свои процедуры по мере развития этих новых проектов.” ³¹

Те, кто участвует в инициативах умного города, имеют международный ресурс для обмена информацией, извлеченными уроками и рекомендуемыми стандартами. Сеть ANSI по умным и устойчивым городам (ANSSC), запущенная в 2014 году, использует (через ежемесячные вебинары и другие каналы) коллективный разум и влияние технического комитета 268 ИСО (Устойчивое развитие в сообществах), МСЭ, МЭК и ИСО. /IEC JTC 1, в дополнение к региональным и национальным группам стандартов в Европе и Азии. ³²

Protection Suite — IxProtector — Индивидуальная защита: Wibu-Systems

Индивидуальная защита

Сочетание AxProtector и IxProtector оказывается идеальным, когда вам нужен чрезвычайно высокий уровень защиты программного обеспечения от обратного проектирования и пиратства . AxProtector создает защитный экран вокруг всего вашего программного пакета. Кроме того, IxProtector шифрует отдельные функции. Функции, обрабатываемые IxProtector, остаются зашифрованными даже после загрузки программного обеспечения и расшифровываются в памяти только на строго необходимое время во время их фактического использования.Этот двойной уровень защиты обеспечивает оптимальную защиту от типичных методов взлома, таких как сброс памяти, установка исправлений и эмуляция защиты программного обеспечения.

IxProtector интегрирован в AxProtector и может использоваться как дополнение или альтернатива AxProtector. Однако использование AxProtector рекомендуется для обеспечения максимального уровня защиты программного обеспечения. Если в приложении или библиотеке защищены только отдельные части, в качестве альтернативы AxProtector используется IxProtector.В таком случае части программного обеспечения также могут использоваться без лицензии. Если части без лицензии должны быть защищены от обратного проектирования, рекомендуемым решением является использование AxProtector IP Protection или IxProtector IP Protection.

Поддерживаемые операционные системы

IxProtector защищает исполняемые файлы и библиотеки для Windows, macOS и Linux. Если ваше программное обеспечение состоит из нескольких приложений и библиотек, возможна комбинация модулей: вы можете смешивать модули, защищенные AxProtector, защищенные IxProtector, защищенные обоими и незащищенные.Также возможна смешанная операция, включающая модули, защищенные с помощью AxProtector .NET.

Принцип работы

Чтобы определить, какие функции защищать, вы должны отметить их в исходном коде вашего приложения. Универсальный интерфейс защиты Wibu (WUPI) будет интегрирован в ваш исходный код. Через этот интерфейс вы можете установить, когда защищенные функции будут расшифрованы и повторно зашифрованы. Расшифровка и шифрование каждой функции очень мало влияет на производительность приложения.С помощью WUPI вы определяете, когда происходят эти действия, и таким образом можете оптимизировать производительность и безопасность вашего программного обеспечения.

Вместо использования WUPI вы также можете автоматически шифровать защищенные функции. Это называется Translocated Execution и обрабатывается встроенным AxEngine. Во время настройки вы решаете, будет ли отдельная функция храниться в кэше после расшифровки или снова будет удалена. Translocated Execution перемещает исполняемый код в рабочую память компьютера, что еще больше затрудняет доступ к нему потенциальных злоумышленников.

Помимо расшифровки и шифрования функций, WUPI предлагает возможность выделения и освобождения лицензий по запросу. При желании вы можете внедрить в свое программное обеспечение неиспользуемый код, который IxProtector может превратить в ловушку (Honey Pot).

При внедрении IxProtector и WUPI вы будете работать с фиктивной библиотекой. Таким образом, вы можете запускать программное обеспечение на этапах разработки и тестирования без выполнения какого-либо шифрования.

Как и AxProtector, IxProtector интегрируется как процесс после сборки и:

• обнаруживает выбранные функции и шифрует их
• удаляет флаги
• связывает вызовы дешифрования и шифрования с защищенными функциями лицензионные запросы.

С помощью этих криптографических операций IxProtector гарантирует предотвращение типичных атак типа «запись и воспроизведение».

Кроме того, IxProtector внедряет в ваше программное обеспечение скрытые команды, которые CodeMeter использует в качестве ловушек (Honey Pot). Взломщик, который должен попытаться расшифровать все зашифрованные функции, неизбежно попадет в ловушку. Такой случай приведет к блокировке лицензии, которую больше нельзя будет использовать для расшифровки других функций. Таким образом, IxProtector является отличным средством защиты от систематического анализа вашего программного обеспечения.

Заинтересованы в индивидуальном предложении нашей технологии CodeMeter? Просто ответьте на несколько вопросов, и наша команда свяжется с вами и предоставит всю необходимую информацию.

Отправить

Выборочное расшифрование SSL — iboss

Обзор выборочного дешифрования HTTPS

Облако iboss имеет встроенные в платформу возможности глубокой проверки SSL и TLS. Доступны настраиваемые параметры выборочного дешифрования, чтобы выбрать, какой зашифрованный трафик проверять, а какой оставить нетронутым.А поскольку iboss cloud работает в облаке, достигается возможность расшифровки в больших масштабах. Облако iboss может мгновенно предоставить следующие преимущества:

• Проверка зашифрованного трафика HTTPS, SSL и TLS, чтобы получить представление о ранее невидимом трафике и активности
• Проверка содержимого на наличие вредоносных файлов и обратных вызовов Центра управления и контроля (CnC) ботнета для предотвращения вредоносных программ и быстрого устранения заражения
• Получите представление об активности, включая поисковые системы, для выявления пользователей с высоким риском и подверженных риску с помощью подробных отчетов, которые включают условия поиска и другие полные события URL
• Получите контроль над рискованным поведением на зашифрованных сайтах, включая предотвращение доступа к опасному контенту и поиску, приводящему к рискованным результатам
• Получите контроль и видимость на YouTube и других сайтах потокового видео, чтобы предотвратить опасный контент и уменьшить пропускную способность из-за непродуктивных действий
• Выборочный выбор того, что нужно расшифровать, из огромного количества критериев, включая расшифровку на основе домена, IP-адреса, категории и группы пользователей
• Предотвратите потерю данных, проверив файлы и содержимое, глубоко скрытое в зашифрованном HTTPS-трафике, который может направляться на сайты хранения, такие как DropBox и Box
• Легко разверните и внедрите расшифровку SSL за считанные секунды, так как все сложности решаются облачной платформой iboss автоматически

Проблемы, связанные с HTTPS и зашифрованным трафиком

Прогнозируется, что зашифрованный трафик достигнет и превысит более 75% всего веб-трафика в 2019 году. Переход на HTTPS необходим для обеспечения конфиденциальности и безопасности. Это создает различные проблемы, поскольку зашифрованный трафик препятствует надлежащей проверке на наличие злонамеренных передач и несоответствующих действий. Правила обязывают и налагают штрафы за ненадлежащую проверку и предотвращение доступа и передачи контента, нарушающего правила. Это включает в себя проверку контента, связанного с инсайдерской торговлей финансами, на соответствие SEC, PII и медицинских записей в области медицины на соответствие HIPAA, а также контента для взрослых и насилия в образовании на соответствие CIPA.Проверка зашифрованного трафика сопряжена со многими проблемами, которые ложатся тяжелым бременем на ИТ-персонал, отвечающий за обеспечение безопасности организации и ее пользователей:

• Разработка решения для выполнения дешифрования может быть сложной задачей и требует экспертных знаний передовых методов асимметричного шифрования, которые являются основой HTTPS
.
• Развертывание расшифровки включает в себя реализацию стратегии передачи необходимых «корневых» сертификатов на устройства, что усложняется из-за различных типов используемых устройств
• Если в решении устройства веб-шлюза доступно расшифрование, нагрузка на устройства веб-шлюза и прокси-серверы увеличивается экспоненциально, когда дешифрование включено, что приводит к остановке сети
• Затраты на приобретение и развертывание большего количества устройств безопасности для целей расшифровки становятся чрезвычайно дорогостоящими и неуправляемыми, истощая ИТ-бюджеты
• Необходимость расшифровывать трафик на устройствах, принадлежащих организации, когда пользователи находятся в мобильном режиме, еще более усложняет внедрение, поскольку пользователи находятся за пределами сетевого периметра
• Необходимость выборочной расшифровки становится очень сложной, поскольку некоторый трафик, например, доверенные банковские сайты, не нужно проверять
• Без проверки зашифрованного HTTPS-трафика организация день ото дня становится все более слепой к интернет-трафику, содержащему вредоносные и не соответствующие требованиям передачи, что приводит к невозможности контролировать передачу и все большему отсутствию видимости в средствах отчетности

Облако iboss решает проблему расшифровки HTTPS

Облако iboss было разработано с учетом требований современного Интернета и включает в себя все функции, необходимые для проверки и контроля зашифрованного HTTPS-трафика. Облако iboss может легко решить эти проблемы, поскольку оно абстрагирует все трудности, связанные с реализацией расшифровки HTTPS, чтобы ИТ-администраторы могли сосредоточиться на защите пользователей.

Получите видимость и контроль над зашифрованным трафиком HTTPS

Облако iboss будет проверять все содержимое передачи HTTPS, включая файлы, заголовки и полные URL-адреса, чтобы обеспечить надлежащую видимость и контроль. ИТ-администраторы получают возможности проверки, необходимые для ранее слепого трафика, чтобы обеспечить соблюдение правил безопасности для снижения риска.Также создаются подробные журналы событий, обеспечивающие необходимую видимость действий пользователя и передач, созданных из зашифрованных передач.

Проверка зашифрованных передач на наличие вредоносных программ и инфекций

Количество вредоносных программ, передаваемых по зашифрованным каналам HTTPS, увеличивается с каждым днем. Что еще хуже, зараженные устройства используют зашифрованный HTTPS для звонков домой в центры управления с угрожающей скоростью. Облако iboss расшифровывает HTTPS-трафик и гарантирует, что передаваемые файлы не содержат вредоносных программ.Кроме того, связь, осуществляемая через HTTPS, проверяется, чтобы определить, не связаны ли они с передачей данных через зараженное устройство, чтобы блокировать связь и предупредить ИТ-персонал.

Получите представление о действиях пользователей в подробных отчетах

Большинство поисковых систем шифруют запросы и условия поиска на веб-сайтах HTTPS. Это затрудняет для администраторов получение информации, необходимой для выявления рискованного и несоответствующего поведения, которое является обязательным для соблюдения.Облако iboss может легко проверять и извлекать необходимую информацию, чтобы администраторы могли получать нужные им сведения в отчетах, включая подробные и детализированные журналы URL-адресов, которые содержат полный URL-адрес и поисковые запросы. Облако iboss включает в себя шумовые фильтры, чтобы быстро выделять поисковые запросы в популярных поисковых системах, таких как Google, чтобы быстро и легко получать необходимую информацию.

Получите контроль над зашифрованными облачными приложениями, включая сайты потокового видео

Облако iboss включает расширенные элементы управления CASB для проверки и применения политик к популярным сайтам и облачным приложениям.Это включает в себя элементы управления для YouTube и других потоковых сайтов, которые выполняют передачу через зашифрованные HTTP-соединения. Благодаря возможности проверять и контролировать зашифрованный HTTPS-трафик можно применять политики, которые снижают ненужную трату пропускной способности и повышают производительность, а также снижают поведение с высоким риском, которое может поставить под угрозу организацию и ее пользователей.

Выборочно расшифровать HTTPS

Облако iboss имеет расширенные функции расшифровки HTTPS, включая гибкость, необходимую для определения того, что расшифровывается, а что остается нетронутым.Администраторы могут выбрать расшифровку на основе множества критериев, включая веб-сайт, IP-адрес, категорию и членство в группе пользователей. Облако iboss будет автоматически использовать свои обширные сигнатуры и базы данных, чтобы определить, какой трафик следует пропускать без изменений на основе настроенных правил. Это позволяет применять безопасность, но высоконадежные и конфиденциальные приложения остаются нетронутыми.

Предотвращение потери данных, скрытой в зашифрованном трафике

Облако iboss может проверять полные файлы, включая Zip и сжатые архивы, на предмет PII и другой конфиденциальной информации.Сочетание этой возможности с возможностью расшифровки и проверки HTTPS позволяет создать мощную комбинацию, которая предотвращает ненужную потерю данных и значительно снижает организационные риски.

Простое развертывание проверки и расшифровки HTTPS

Облако iboss упрощает внедрение и развертывание расшифровки и проверки HTTPS. Облачные коннекторы iboss автоматически настраивают конечные точки со всеми необходимыми настройками, необходимыми для выполнения расшифровки, включая установку необходимого корневого сертификата доверенного ЦС HTTPS, который обычно устанавливается вручную. Кроме того, огромный масштаб облака iboss позволяет выполнять расшифровку любого объема без снижения производительности и необходимости развертывания дополнительных устройств безопасности. Это решает проблемы для любой организации, которая попыталась расшифровать только для того, чтобы обнаружить, что сеть полностью прервана, а существующие устройства перегружены. Облако iboss работает в облаке и может обрабатывать любой объем зашифрованного трафика, необходимый для обеспечения контроля и видимости, необходимых ИТ-персоналу. Лучше всего то, что развертывание расшифровки SSL с помощью облака iboss может быть выполнено за секунды, а не за месяцы, что экономит ценное время ИТ-специалистов и накладные расходы.

Как это работает

Расшифровать HTTPS с помощью облака iboss легко и быстро:

1. Получить активную облачную учетную запись iboss
2. Подключайте пользователей к облаку iboss с помощью облачного коннектора iboss. Соединитель обрабатывает все необходимое для настройки конечной точки для выполнения расшифровки SSL. Коннекторы доступны практически для всех операционных систем, включая Windows, Mac, iOS и Chromebook
.
3. Включить расшифровку HTTPS в консоли администрирования iboss cloud.Выберите, следует ли расшифровывать все сайты или выборочно расшифровывать по категориям, группам и другим критериям
4. Облачная платформа iboss берет на себя все остальное, и администраторы увидят в журналах подробную регистрацию трафика с HTTPS-сайтов, а также смогут управлять HTTPS-адресами в Интернете

Особенности

Выборочное расшифрование по категориям

Облако iboss может динамически классифицировать доступ в Интернет к различным адресам автоматически.Комбинируя эту возможность с расшифровкой HTTPS, администраторы могут выбирать, какие категории они хотели бы расшифровать или обойти, и облако iboss автоматически применит эти правила к каждому сайту в зависимости от категории сайта. Избирательное дешифрование на основе категорий также может применяться для каждой группы, чтобы обеспечить еще более детальный контроль над расшифрованным содержимым.

Убедитесь, что расшифровка SSL не прерывает работу Office 365

Если просто включить поддержку Office 365 в облаке iboss, подключения к Office 365 никогда не будут прерываться, поскольку облако iboss привязано к Microsoft для изменения подписей, связанных с трафиком Office 365.Это гарантирует, что пользователи получат наилучшие возможности Office 365 и будут максимально продуктивными в любое время.

Обход расшифровки SSL по домену

Выборочный обход или дешифрование по домену. Это обеспечивает гибкость при необходимости обойти или расшифровать определенные веб-сайты, пользующиеся высоким доверием и безопасностью.

Цены

Для получения дополнительной информации о расшифровке SSL в облаке iboss посетите https://www. iboss.com/platform/inspect-encrypted-ssl-трафик.

Как создать политику расшифровки в SonicOSX 7.0?

08.04.2021 0 Люди считают эту статью полезной 36 902 Просмотров

Описание

Политики расшифровки используются для создания групп правил, определяющих, какой трафик следует расшифровывать. Это решение основано на критериях соответствия, таких как IP-адреса источника и IP-адреса назначения. Каждая политика дешифрования может иметь свои собственные критерии соответствия, а также связанное с ним действие.Как только совпадение выполнено, мы можем решить, нужно ли нам расшифровать или обойти.

В SonicOSX 7.0 больше нет фильтрации содержимого HTTPS. Итак, если мы хотим разрешить веб-сайты HTTPS, нам нужен клиентский DPI SSL и соответствующая политика дешифрования для их проверки.

Разрешение

Правила политики расшифровки определяют, какой тип трафика необходимо расшифровать. Можно добавить три типа правил, каждое со своими параметрами, которые можно использовать для сопоставления.

• Правила клиента DPI-SSL
• Правила сервера DPI-SSL
• Правила DPI-SSH

Критерии соответствия для этих правил могут содержать следующие параметры трафика:

Клиентские правила SSL: 9005 Источник IP-адрес

Правила SSL-сервера SSL:

• Источник IP-адрес
• назначения IP-адрес
• Услуги назначения (порт / IP)
• пользователь
• GEO Местоположение
• Гео Местоположение
• Геоссы

SSH Правила:

• Исходный IP-адрес
• IP-адрес
• IP-адрес назначения
• (тип порта/IP)
• Пользователь
• Географическое местоположение
• Расписание

Прежде чем мы сможем создать политику расшифровки, эти функции должны быть включены глобально.

Чтобы включить клиентский DPI-SSL:

1. Перейдите к  Policy | Правила и политика | Настройки и Расшифровка (DPI-SSL) вкладка.
2. На вкладке «Общие» с помощью переключателя включите проверку клиента SSL, затем нажмите «Принять » внизу.
   
3. Сертификат DPI-SSL должен быть установлен на всех компьютерах конечных пользователей, для которых создается эта политика дешифрования. Вы можете либо установить сертификаты вручную, либо использовать групповую политику для отправки сертификатов на все машины, входящие в домен.Вы можете загрузить сертификат DPI-SSL, перейдя к Политика | Правила и политика | Настройки | Расшифровка (DPI-SSL) и выберите вкладку Сертификат .
   

Чтобы включить сервер DPI-SSL:

1. Перейдите к Политике | Правила и политика | Настройки и Расшифровка (DPI-SSL) вкладка.
2. На вкладке «Общие» с помощью переключателя включите Включить проверку SSL-сервера , а затем нажмите Принять внизу.
   
3. Сертификат и объект адреса сервера можно добавить, перейдя к Политика | Правила и политика | Настройки | вкладку Расшифровка (DPI-SSL)  , затем выберите вкладку  SSL-серверы . Нажмите  Добавить .
   
4. Необходимо выбрать следующие параметры:

• В раскрывающемся меню Адресный объект/группа выберите адресный объект или группу для сервера или серверов, к которым вы хотите применить проверку DPI-SSL.
• В раскрывающемся меню Сертификат SSL выберите сертификат, который будет использоваться для подписи трафика для сервера.
• Параметр открытого текста указывает, что часть соединения TCP между устройством UTM и локальным сервером будет открытой без уровня SSL, что позволяет устройству разгрузить обработку SSL с сервера. Если вы хотите включить это, вам потребуется создать правило PAT для переназначения зашифрованной службы, такой как HTTPS, на незашифрованную службу HTTP. После выбора нажмите  Добавить .

Чтобы включить DPI-SSH

1. Перейдите к Политика | Правила и политика | Настройки и Расшифровка (DPI-SSH) вкладка.
2. Используйте переключатель, чтобы включить Включить проверку SSH, , затем нажмите Принять внизу.
   
   

Чтобы создать клиентскую политику расшифровки SSL

1. Перейдите к политике | Правила и политика | Политика расшифровки  вкладка. Убедитесь, что в раскрывающемся списке в верхней части экрана установлено значение Client SSL .
   
   
2. Нажмите  Top внизу экрана. Если у вас есть несколько политик, очень важно правильно расставить приоритеты, чтобы убедиться, что политика расшифровки применяется к правильному трафику.
   
   
3. Выберите соответствующий источник/назначение/службу или оставьте значение Любой для расшифровки всего трафика.
   
   
4. На вкладке URL вы также можете выбрать списки веб-категории и веб-сайта. В разделе «Действие» выберите, хотите ли вы Расшифровать или Обойти .
5. Щелкните Сохранить .
   
   

Чтобы создать политику расшифровки SSL/SSH сервера

• Перейдите к Политике | Правила и политика | Политика расшифровки  вкладка.Убедитесь, что в раскрывающемся списке в верхней части экрана установлено значение Server SSL или SSH .
  
• Далее вы выполните описанные выше шаги для создания правил.

Статьи по теме

Категории

Была ли эта статья полезной?

ДА НЕТ

Прокрутите вверх

Trace:2425f0fb74872068181c49de4a73c132-74

Руководство по настройке защиты от угроз Cisco Firepower для Firepower Device Manager, версия 6.

2.3 — Расшифровка SSL [Cisco Firepower NGFW]

Приложение Критерии правила расшифровки SSL определяют приложение, используемое в IP-адресе. подключение или фильтр, определяющий приложения по типу, категории, тегу, риску, или актуальность для бизнеса. По умолчанию используется любое приложение с протоколом SSL. тег. Вы не можете сопоставить правила расшифровки SSL с любым незашифрованным приложением.

Хотя можно указать отдельные приложения в правиле, фильтры приложений упрощают создание и администрирование политики. Например, вы можете создать SSL правило расшифровки, которое расшифровывает или блокирует все данные с высоким риском и низкой значимостью для бизнеса Приложения.Если пользователь попытается использовать одно из этих приложений, сеанс расшифровывается или блокируется.

Кроме того, Cisco часто обновляет и добавляет дополнительные детекторы приложений через систему и обновления базы данных уязвимостей (VDB). Таким образом, правило для приложений с высоким риском может автоматически применяться к новым приложениям без необходимости обновлять правило вручную.

Вы можете указать приложения и фильтры прямо в правиле или создать фильтр приложений объекты, определяющие эти характеристики. Характеристики эквивалентны, хотя использование объектов может облегчить пребывание в Системное ограничение в 50 элементов на критерий, если вы создаете сложное правило.

Чтобы изменить список приложений и фильтров, вы нажимаете кнопку кнопку + внутри условия, выберите нужный приложения или объекты фильтра приложений, которые перечислены на отдельных вкладках, и нажмите OK во всплывающем диалоговом окне. На любой вкладке вы можете нажмите Передовой Фильтр для выбора критериев фильтрации или помощи в поиске определенных Приложения. Нажмите на x для приложения, фильтра или объекта, чтобы удалить его из политики. Нажмите на Сохранить как Ссылка фильтра для сохранения комбинированных критериев, которые еще не объект в качестве нового объекта фильтра приложения.

Для получения дополнительной информации о критериях подачи заявок и о том, как настроить расширенные фильтры и выбрать приложения см. Настройка объектов фильтра приложений.

Рассмотрим следующее советы по использованию критериев приложения в правилах расшифровки SSL.

• Система может выявлять незашифрованные приложения, которые зашифровываются с помощью StartTLS. Этот включает такие приложения, как SMTPS, POPS, FTPS, TelnetS и IMAPS. В Кроме того, он может идентифицировать определенные зашифрованные приложения на основе сервера. Указание имени в сообщении TLS ClientHello или сертификате сервера значение отличительного имени субъекта.

• Система может идентифицировать приложение только после обмена сертификатами сервера. Если трафик обмен во время рукопожатия SSL соответствует всем другим условиям в правиле SSL содержащее условие приложения, но идентификация не завершена, Политика SSL разрешает прохождение пакета.Такое поведение позволяет рукопожатию завершены, чтобы приложения могли быть идентифицированы. После того, как система завершит свою идентификации, система применяет действие правила SSL к оставшемуся сеансу трафик, соответствующий условиям приложения.

• Если выбранное приложение было удалено обновлением VDB, после имени приложения отображается «(Устарело)».