Kompleksowa ochrona serwerów z Deep Security

15.01.2020
Bezpieczeństwo
Autor: Atman

Atman zdecydował się ułatwić klientom dbanie o bezpieczeństwo swoich środowisk serwerowych i włączył do oferty kompleksowe, a jednocześnie elastyczne rozwiązanie Deep Security.

Pod nazwą Deep Security kryje się zestaw kilku narzędzi firmy Trend Micro, przeznaczonych do ochrony serwerów: fizycznych (bare metal), wirtualnych, chmurowych i kontenerowych itp. Z rozwiązania może korzystać firma każdej wielkości, bo wystarczy potrzeba ochrony jednego serwera przed podatnościami na zagrożenia, takimi jak np. włamania hakerów wykorzystujących luki w zabezpieczeniach sieci czy ataki złośliwego oprogramowania (malware).

Wprowadzenie do Deep Security

Architektura Deep Security

Narzędzia Deep Security pogrupowane są w trzy moduły:

1. Network Security (ochrona sieci)
  • Intrusion Prevention / Virtual Patching
  • Host Firewall
2. Malware Prevention (zabezpieczenie przed złośliwym oprogramowaniem)
  • Antymalware
  • Web Reputation
3. System Security (bezpieczeństwo systemów)
  • Application Control
  • Integrity Monitoring
  • Log Inspection

Deep Security architekture

 

Rozwiązanie umożliwia wybranie pojedynczego modułu narzędzi, dowolnych dwóch lub wszystkich modułów – w zależności od potrzeb klienta, który może też zdecydować, które serwery objąć pełną ochroną, a dla których zastosować tylko wybrany typ zabezpieczeń.

Zalety

Narzędzia Deep Security działają w sposób zautomatyzowany i w czasie rzeczywistym, nie powodując jednak spowalniania systemów. Instalacja jest łatwa i szybka (model agentowy), a zarządzanie proste i wygodne (jeden panel).

Korzystanie z Deep Security istotnie podnosi poziom bezpieczeństwa infrastruktury IT firmy, jednocześnie oszczędzając jej czas, zasoby i pieniądze dzięki:

  • unikaniu nieplanowanych przestojów w pracy operacyjnej
  • ograniczeniu „ręcznego” wykonywania prac związanych z cyberbezpieczeństwem
  • unikaniu potencjalnie dużych strat finansowe w przypadku np. utraty lub wycieku danych.

Problem niewspieranych systemów

MS Windows Server 2008 i Server 2008 R2

Wyjątkowo poważnie należy podejść do kwestii skutecznego zabezpieczenia serwera przed podatnościami, jeżeli jego system operacyjny przestał (lub wkrótce przestanie) być wspierany przez producenta.

Świeży przykład to Windows Server 2008 i Server 2008 R2, które Microsoft zakończył wspierać 14 stycznia 2020 r. Co to oznacza dla firm korzystających z tych systemów? Brak reakcji MS na nowo znajdowane luki w ich bezpieczeństwie, czyli brak nowych łatek (tzw. patchy), które mogłyby zapobiec wykorzystaniu tych luk przez cyberprzestępców lub złośliwe oprogramowanie.

Jeżeli firma korzystająca z Windows Server 2008 decyduje się z jakichś względów nadal pracować na tym systemie przez jakiś czas, powinna bezwzględnie wdrożyć odpowiednie zabezpieczenia. Z kolei nawet w przypadku decyzji o szybkiej zmianie platformy na supportowaną, firma powinna zadbać o skuteczną ochronę zasobów przed, w trakcie i po migracji. Niewspierane systemy operacyjne z zasady stają się celem wielu cyberprzestępców, którzy starają się znaleźć w nich – i wykorzystać – jak najwięcej luk.

 

Kluczowe dla rozwiązania tego problemu i generalnie najbardziej popularne wśród narzędzi Deep Security są Virtual Patching i Antymalware. Przyjrzyjmy się im nieco bliżej.

Niezawodny Virtual Patching

Virtual Patching to nałożenie wirtualnej łaty (patcha), która zabezpiecza serwer do momentu instalacji właściwej, oficjalnej aktualizacji lub – w przypadku niewspieranych systemów – tak długo, jak to będzie potrzebne. Polega to na uruchomieniu w sieci wielowarstwowego filtra reguł, który zapobiega próbom dostania się tzw. exploita do konkretnej podatności i jej wykorzystania.

Wyzwolenie patchowania następuje automatycznie. Informację o wykryciu danej podatności zapewnia skaner rekomendacji, który regularnie monitoruje w pełni zaufane źródła, takie jak np. Zero Day Initiative.

Wyobraźmy sobie, że właśnie opublikowano informację o zidentyfikowaniu nowej podatności aplikacji X, a jej producent wypuścił patcha. Firma pracująca na X albo dowie się o tym z opóźnieniem wielodniowym (na serwery nie przychodzą powiadomienia o dostępnych aktualizacjach), narażając się w tym czasie na atak, albo jej specjalista IT wychwyci to szybko – i stanie przed dylematem. Czy zatrzymać pracę serwera natychmiast, narażając firmę na straty finansowe w wyniku przestoju? A może zaplanować okienko serwisowe na którąś noc za kilka dni, do tego czasu narażając firmowe systemy IT na atak i jeszcze większe straty finansowe?

Tymczasem korzystający z Virtual Patching mają zapewnioną nieprzerwaną ochronę, unikając jednocześnie uciążliwego problemu dokonywania aktualizacji systemu w niedogodnym momencie.

Profesjonalny Antymalware

Upowszechniło się twierdzenie, że przeciętny program antywirusowy jest w stanie wychwycić zaledwie 45% wszystkich dokonywanych ataków. Dzieje się tak głównie z powodu nieustającej ewolucji zagrożeń cyberbezpieczeństwa. Kilkanaście lat temu największym zmartwieniem w branży IT był wirus komputerowy. Dziś w sieci funkcjonuje wiele rodzajów złośliwego oprogramowania, jak np. spyware, cryptojacking czy ransomware, do walki z którymi potrzebne są odpowiednie narzędzia.

Jednym z nich jest Antymalware firmy Trend Micro, który wykorzystuje komplet metod:

  • wyjątkowo bogatą i stale aktualizowaną bazę złośliwego oprogramowania
  • weryfikację znanych fragmentów kodu
  • testowanie działania podejrzanego oprogramowania z możliwością wycofania dokonanych zmian.

Aktualnie jest to jedno z najpoważniejszych narzędzi zapewniających wszechstronną ochronę przed złośliwym oprogramowaniem.

Wszystko pod kontrolą

Decydując się na zakup usługi Deep Security, klient otrzymuje dostęp do intuicyjnej konsoli, w której może samodzielnie zarządzać niezbędnymi opcjami, włączać lub wyłączać moduły. W dowolnym momencie może  także generować raporty, przejrzyście prezentujące skuteczność danego narzędzia. Doskonałym przykładem jest raport rekomendacji (Recommendation Report), który informuje, jakich patchy brakuje na danym serwerze lub grupie serwerów.

Bez wątpienia rozwiązaniem zapewniającym kompleksową ochronę jest wybór wszystkich modułów Deep Security. Jednak zastosowanie już jednego z nich zdecydowanie podnosi poziom bezpieczeństwa, wprowadzając jakość stosowanych zabezpieczeń na zupełnie nowy, wyższy poziom.