10.1 Endpoint Security
Network attacks today
В enterprise news чаще всего всплывают такие типы атак:
DDoS;data breach;malware.
DDoS (Distributed Denial of Service) — распределённая атака, которая перегружает сервис или сайт и делает его недоступным. abbreviation data breach — компрометация systems или data stores с целью кражи confidential data. networkterm malware — вредоносное ПО, которое заражает host и выполняет вредные действия. networkterm ransomware — вид malware, который шифрует данные и требует выкуп. networkterm
Network security devices
Защита сети строится не только на host antivirus.
В perimeter и access design участвуют разные security devices:
| Устройство | Зачем нужно |
|---|---|
| VPN-enabled router | secure remote access |
| NGFW | stateful inspection, app visibility, IPS, filtering |
| NAC | контроль доступа к сети и policy enforcement |
VPN (Virtual Private Network) — защищённый туннель через public network. abbreviation NGFW (Next-Generation Firewall) — firewall с расширенными security functions beyond classic packet filtering. abbreviation NAC (Network Access Control) — система, которая решает, кто и при каких условиях получает доступ к сети. abbreviation
Endpoint protection
Endpoints — это:
- laptops;
- desktops;
- servers;
- IP phones;
- BYOD devices.
BYOD (Bring Your Own Device) — личные устройства сотрудников, подключаемые к корпоративной сети. abbreviation HIPS (Host-based Intrusion Prevention System) — host-level protection mechanism, которая пытается остановить malicious activity на endpoint. abbreviation AMP (Advanced Malware Protection) — protection against advanced malware, часто с cloud intelligence и telemetry. abbreviation
Главная мысль:
- внешние атаки опасны;
- но внутренний compromised host тоже может стать attack pivot внутри LAN.
Cisco ESA и WSA
Cisco ESA
ESA (Email Security Appliance) — security appliance для анализа и фильтрации email traffic. abbreviation
Что полезно запомнить:
- блокирует phishing and malware emails;
- может discard messages с malicious links;
- помогает снижать risk от spear phishing.
phishing — обман, который заставляет пользователя открыть ссылку, вложение или отдать credentials. networkterm spear phishing — targeted phishing against specific person or role. networkterm
Cisco WSA
WSA (Web Security Appliance) — security appliance для web traffic control и web threat mitigation. abbreviation
Что делает WSA:
- URL filtering;
- blacklisting;
- malware scanning;
- application filtering;
- encryption/decryption inspection.
Что важно вынести
| Проблема | Чем помогают защищаться |
|---|---|
| Email-based malware/phishing | ESA |
| Web-based threats | WSA |
| Untrusted device access | NAC / 802.1X |
| Endpoint compromise | AMP, firewall, HIPS, policies |
Ключевая мысль
Даже если switch infrastructure защищена, compromised endpoint всё равно может стать starting point for internal attack.
Если понял тему
Ты понимаешь разницу между perimeter/network appliances и endpoint protection, и можешь объяснить, зачем в enterprise отдельно нужны
NAC,ESA,WSA,AMP.