Illustration

Content ID, App ID и User-ID – технологии на страже сетевой безопасности

24 Nov 2020

Content ID
Предприятия любого размера подвергаются риску со стороны множества все более изощренных угроз, которые эволюционируют с каждым днем, чтобы избежать многих традиционных мер безопасности в отрасли. Технология Content-ID от Palo Alto Networks предлагает новый подход, основанный на полном анализе всего разрешенного трафика с использованием нескольких передовых технологий предотвращения угроз в единой унифицированной системе.
Content-ID основан на архитектуре, которая представляет собой уникальную комбинацию программного и аппаратного обеспечения, которая была разработана с нуля для интеграции нескольких технологий предотвращения угроз (IPS, защита от вредоносных программ, фильтрация URL-адресов и т. Д.) в единую систему. Это подход, который упрощает управление, оптимизирует обработку и максимизирует производительность.
В Palo Alto Networks, предотвращение угроз применяется в контексте всего приложения и протокола – для всего вашего трафика и портов, обеспечения обнаружения и блокировки угроз. Content-ID обеспечивает полностью интегрированную защиту от эксплойтов уязвимостей, вредоносного ПО и трафика, создаваемого вредоносными программами. Эта технология предотвращения угроз включают такие возможности:
Функция IPS.
Блокирует эксплойты уязвимостей, переполнение буфера и сканирование портов. Дополнительные возможности, такие как блокировка недействительных или искаженных пакетов, дефрагментация IP и повторная сборка TCP, защищают вас от методов уклонения и обфускации, используемых злоумышленниками.
Защита от вредоносных программ.
Известные вредоносные программы, а также будущие разновидности известных вредоносных программ обнаруживаются потоковым движком, который блокирует поток данных на очень высокой скорости. Кроме того, доступна обновленная защита от неизвестных вредоносных программ.
Управление и контроль.
Останавливает исходящие сообщения вредоносного ПО, а также пассивно анализирует запросы DNS и определяет уникальные шаблоны ботнетов. Это выявляет зараженных пользователей, предотвращает вторичные загрузки и передачу данных с вашего предприятия.
Фильтрация URL-адресов.
Полностью интегрированная база данных фильтрации URL-адресов позволяет вам более легко и эффективно применять политики для просмотра веб-страниц, а также сокращать количество инцидентов, связанных с вредоносным ПО, путем блокировки доступа к сайтам загрузки известных вредоносных программ и фишинга.
Фильтрация файлов и данных.
Функции фильтрации данных в Content-ID позволяют реализовать политики, снижающие риски, связанные с передачей неавторизованных файлов и данных, например блокировку файлов по типу; фильтрация данных для управления передачей шаблонов конфиденциальных данных, включая номера кредитных карт и социального страхования в содержимом приложения или вложениях. Кроме того, возможно управление функцией передачи файлов, которое обеспечивает контроль над функциями передачи файлов в отдельном приложении, позволяя использовать приложение, предотвращая нежелательные входящие или исходящие передачи файлов.
App ID
App-ID – это основополагающий элемент корпоративной платформы безопасности Palo Alto Networks. Он использует несколько методов идентификации для определения идентичности приложений, проходящих через вашу сеть, в том числе тех, которые пытаются избежать обнаружения, маскируясь под законный трафик, переключая порты или используя шифрование. В сочетании с информацией из User-ID вы всегда знаете, кто и что использует в вашей сети.
App-ID позволяет вам увидеть приложения в вашей сети и узнать, как они работают, их поведенческие характеристики и их относительный риск. Приложения и функции приложений идентифицируются с помощью нескольких методов, включая подписи приложений, дешифрование (при необходимости), декодирование протокола и эвристику. Это позволяет осуществлять детальный контроль, например, разрешая только санкционированные учетные записи Office 365 или разрешая использовать Slack для обмена мгновенными сообщениями, но при этом блокируя передачу файлов.
App-ID поддерживает полный набор приложений и функций приложений, упорядоченных по категориям, технологиям, рискам и т. Д. Это позволяет вашей организации перейти к позитивной модели принуждения и определить, какие приложения и функции приложений разрешены. Кроме того, вы можете создавать собственные идентификаторы приложений для внутренних или пользовательских приложений.
«Неизвестный трафик», который не распознается предопределенными и настраиваемыми идентификаторами приложений, может рассматриваться как отдельная категория и управляться с помощью различных вариантов принудительного применения в зависимости от профиля риска вашей организации. Такая гибкая обработка неизвестного трафика уникальна для Palo Alto Networks.
User ID
Улучшенная видимость использования приложений на основе пользователей даст вам более актуальную картину сетевой активности.
Информация о пользователях и группах должна быть напрямую интегрирована в технологические платформы, обеспечивающие безопасность современных организаций. Информация о том, кто использует приложения в вашей сети, и кто теоретически может предоставлять угрозу или передает файлы, укрепляет политики безопасности и сокращает время реагирования на инциденты. User-ID, стандартная функция межсетевых экранов нового поколения Palo Alto Networks, позволяет вам использовать пользовательскую информацию, хранящуюся в широком диапазоне репозиториев.
Видимость активности пользователя в приложении
Видимость активности приложений на уровне пользователя, а не только на уровне IP-адреса, позволяет более эффективно соблюдать политики безопасности. Вы можете согласовать использование приложений с бизнес-требованиями и, при необходимости, сообщить пользователям, что они нарушают политику, или даже полностью заблокировать их использование приложений.
Пользовательский контроль политик
Кроме этого, можно определить политики для безопасного включения приложений на основе пользователей или групп пользователей в исходящем или входящем направлениях, например, разрешить только ИТ-отделу использовать такие инструменты, как SSH, telnet и FTP на стандартных портах. С User-ID политика следует за пользователями независимо от того, откуда они заходят сеть – из офиса или дома, и какое бы устройство они ни использовали.
Также могут быть созданы информативные отчеты о действиях пользователей с использованием любого из заранее определенных отчетов или путем создания уникального отчета для вашей организации.
User-ID интегрируется со структурами идентификации и аутентификации, что обеспечивает точный контроль доступа с помощью многофакторной аутентификации на основе политик.
Видимость и контроль пользователей и приложений с помощью App-ID ™ и User -ID ™ в сочетании с проверкой содержимого, обеспечиваемой Content-ID, позволяет ИТ-командам восстановить контроль над трафиком приложений и связанным с ним содержимым.
Узнайте больше об этих технологиях на онлайн тест-драйве NGFW на базе машинного обучения Content-ID - Защита легитимного трафика.