Сетевая сегментация — это разделение сети на более мелкие, логически (например, с использованием технологии VLAN) или физически изолированные подсети или сегменты, к которым должны применяться разные политики безопасности.
Основные задачи, решаемые сетевой сегментацией:
- предотвращение или снижение скорости распространения внешних атак;
- снижение времени, необходимого для обнаружения сетевых атак;
- разграничение доступа и защита от внутренних угроз;
- разделение зон администрирования;
- соблюдение законодательных требований к защите персональных данных, коммерческой и других видов тайн, объектов КИИ.
Для измерения результатов сегментации сети можно использовать следующие показатели:
1. Снижение скорости распространения, а также количества атак на отдельные зоны (например, за счет выделения демилитаризированной зоны (DMZ)).
– Примеры метрик: время атаки и количество затронутых узлов при распространении вредоносного ПО до и после сегментации.
– За счет чего достигается результат: сегментация сети затрудняет продвижение злоумышленников, снижая скорость распространения атак.
2. Увеличение скорости обнаружения и реагирования на инциденты.
– Примеры метрик: время обнаружения (MTTD — mean time to detect) и время реагирования (MTTR — mean time to respond) на инциденты.
– За счет чего достигается результат: сетевая сегментация упрощает мониторинг инцидентов ИБ, что способствует более быстрому обнаружению нежелательных событий и реагированию на них, так как аномалии и индикаторы компрометации проще выявить на границах зон, чем в плоской сети.
3. Ограничение несанкционированного доступа.
– Примеры метрик: количество зарегистрированных попыток несанкционированного доступа и успешных проникновений.
– За счет чего достигается результат: разделение сети на сегменты с различными уровнями доступа затрудняет злоумышленникам доступ к критически важным ресурсам.
4. Снижение числа уязвимостей, доступных для эксплуатации.
– Примеры метрик: количество уязвимостей и успешных атак с их использованием в каждом сегменте.
– За счет чего достигается результат: изоляция уязвимых узлов, для которых недоступны обновления.
5. Снижение затрат на устранение последствий атак.
– Примеры метрик: затраты на восстановление после инцидентов ИБ до и после сегментации.
– За счет чего достигается результат: сегментация сети снижает масштабы атак и размеры ущерба, уменьшаются затраты на восстановление и устранение последствий.
6. Снижение штрафов и убытков от нарушения нормативных требований.
– Примеры метрик: количество замечаний и штрафов по итогам проверок.
– За счет чего достигается результат: разделение сети является одним из базовых методов обеспечения ИБ, который выполняет многие из регуляторных требований.
Сетевая сегментация и ее роль на разных этапах kill chain
Сетевая сегментация — одна из ключевых технологий для обнаружения и ограничения перемещений атакующего по сети. Рассмотрим, как она используется на разных этапах модели kill chain для предотвращения и минимизации последствий кибератак.
1. Разведка (reconnaissance). Атакующие собирают информацию о целевой системе. Создание различных подсетей и сокрытие инфраструктуры за межсетевыми экранами и демилитаризованными зонами затрудняет получение данных о версиях используемого ПО и устройств во внутренних сегментах.
2. Вооружение (weaponization). На этом этапе злоумышленники разрабатывают или модифицируют вредоносное ПО для атаки. Хотя сетевая сегментация непосредственно не влияет на этот процесс, она может усложнить последующие этапы, ограничивая распространение ВПО.
3. Доставка (delivery). Разделение сети на сегменты с разными уровнями доступа и контроль входящего и исходящего трафика на границах зон с использованием глубокой фильтрации, систем обнаружения вторжений и песочниц позволяет ограничить возможности доставки ВПО через электронную почту, веб-сайты или другие каналы.
4. Эксплуатация (exploitation). После успешной доставки вредоносного ПО хакеры стремятся использовать уязвимости в системах для расширения привилегий и перемещения между узлами. Сетевая сегментация ограничивает доступ к системам и данным, минимизируя возможности их передвижения и количество потенциальных точек входа для эксплуатации.
5. Установка (installation). Если атакующим удается установить ВПО, сетевое деление ограничивает его распространение. Контролируя коммуникации между зонами и используя системы обнаружения и предотвращения вторжений (IDS, IPS), можно своевременно обнаружить и заблокировать аномальные действия.
6. Управление и контроль (command and control). На этом этапе злоумышленники пытаются установить связь с зараженными системами для управления ими. Сегментация, наряду с политиками контроля доступа и мониторингом сетевого трафика, затрудняет установку и поддержание таких каналов связи.
7. Выполнение целей (actions on objectives). На заключительном этапе атакующие стремятся достичь своих целей: кражи или уничтожения данных, разрушения систем или вымогательства. Сетевая сегментация ограничивает их возможности, создавая барьеры для доступа к критическим ресурсам и позволяя быстро изолировать зараженные зоны для предотвращения дальнейшего ущерба.
Развитие сетевой сегментации: от сетевого периметра к zero trust
Подходы к сегментации значительно менялись вместе с развитием сетей. Сначала появилась концепция сетевого периметра. Идея заключалась в том, что защищать нужно внешний периметр организации, то есть вся защита концентрировалась на границе между внутренней и внешней сетью.
С увеличением числа публично доступных сервисов возникла необходимость в архитектурных решениях, обеспечивающих дополнительную безопасность сетевой инфраструктуры. Так появилось понятие DMZ. Это логическая или физическая подсеть, отделенная от основной сети организации, предназначенная для размещения публично доступных сервисов, таких как веб-серверы, почтовые серверы и DNS-серверы. DMZ обеспечивает дополнительный уровень безопасности, создавая буферную зону между внешней и внутренней корпоративной сетью.
В конце XX века внутреннюю сеть стали делить на дополнительные сегменты, чтобы повысить безопасность за счет создания различных зон с разными уровнями доступа и защиты. Дальнейшей сегментации способствовали повышение количества и сложности атак, а также появление законодательных требований к защите разных категорий данных.
Микросегментация, появившаяся в начале 2010-х годов, подразумевает еще более гранулированное деление сети, вплоть до уровня отдельных узлов и приложений. Она позволяет минимизировать возможные последствия при компрометации одного из узлов сети, а также снизить ущерб от внутренних злоумышленников. Реализовать микросегментацию можно с помощью средств, встроенных в ОС, без дополнительных инвестиций в специализированное ПО или сетевое оборудование. На ОС семейства Linux для микросегментации можно использовать iptables, firewalld, SELinux, Linux namespaces. На ОС семейства Windows — Windows Firewall, Windows Defender Firewall with Advanced Security, виртуальные коммутаторы Hyper-V и групповые политики для их централизованной настройки. При этом включение локального межсетевого экрана для блокировки всего входящего трафика на каждой рабочей станции — один из самых эффективных методов предотвращения распространения шифровальщиков по пользовательской подсети, который никак не нарушает работу пользователей (кроме специализированный случаев peer-to-peer голосовых коммуникаций в корпоративных мессенджерах).
Развитие облачных технологий, удаленной работы и использование личных устройств полностью размыло понятие периметра организации. На этом этапе появляются концепции zero trust (нулевое доверие) и identity is the new perimeter (учетные данные — новый периметр), которые предлагают добавить к сетевой сегментации постоянную и гранулярную аутентификацию и авторизацию.
Основной принцип zero trust заключается в том, что никому и ничему не следует доверять по умолчанию, даже внутри корпоративной сети. Все пользователи и устройства должны быть аутентифицированы и авторизованы для каждого доступа к ресурсам.
Концепция identity is the new perimeter предлагает сместить меры защиты от традиционных сетевых границ к политикам контроля доступа и учетным записям. Для этого принципа требуется проверка учетных данных и уровня доступа пользователя независимо от его местоположения внутри или за пределами корпоративной сети. С учетом удаленного доступа и использования облачных сервисов злоумышленнику необязательно проникать во внутреннюю сеть для успешной атаки. Достаточно получить учетные данные пользователя, а еще лучше администратора, через фишинг или подбор пароля. И для противодействия таким атакам необходимо применять методы защиты именно учетных данных и доступа, включая многофакторную аутентификацию, мониторинг и контекстное управление доступом (conditional access), решения для управления идентификацией и доступом (IAM — identity and access management), а также привилегированным доступом (PIM — privileged identity management), PAM (privileged access management), just-in-time (JIT) administration.
Используемые подходы к сетевой сегментации часто соответствуют уровню зрелости информационной безопасности в организации, то есть чем он выше, тем более новый метод или их комбинацию используют в организации.
Выводы
Сетевая сегментация — один из необходимых шагов кибертрансформации, который играет критически важную роль на всех этапах kill chain, ограничивая возможности злоумышленников и минимизируя последствия атак. Эффективное разделение сети совместно с другими мерами безопасности обеспечивает многослойную защиту, делая сеть более устойчивой к современным угрозам.