Hlavní prostředky ochrany informací: firewall, IDS/IPS, DLP a SIEM
Mezisíťové zdi, systémy detekce a prevence vniknutí, DLP a SIEM tvoří základní stack pro ochranu podnikových sítí. Tyto nástroje filtrují provoz, monitorují anomálie a předcházejí úniku dat, pracují na různých úrovních protokolu. Pojďme si rozebrat jejich principy, typy a scénáře použití pro middle/senior odborníky na informační bezpečnost.
Mezisíťové zdi: od stateless k NGFW
Mezisíťová zeď (firewall) stojí na hranici sítě po směrovači, propouští veškerý provoz mezi lokální sítí a internetem. Ve výchozím nastavení platí princip "vše zakázáno, kromě explicitně povoleného" — bez pravidel přístup chybí.
Stateless firewall analyzuje každý paket izolovaně podle pravidel: zdrojová IP, zdrojový port, cílový IP, cílový port. Nebere v úvahu kontext spojení, vyžaduje zrcadlová pravidla pro příchozí/odchozí provoz. Škálování je obtížné kvůli růstu počtu pravidel.
Stateful firewall vede tabulku stavů spojení (state table), propouští odpovídající provoz automaticky. Funguje na L4 (transportní vrstva), nevidí útoky na aplikační vrstvě.
NGFW (Next-Generation Firewall) inspektuje obsah paketů:
- Rozpoznává aplikace nezávisle na portech (například Telegram na 443).
- Blokuje podle domén.
- Integruje antivirový program, sandbox a IPS/IDS.
Příklad: blokace YouTube a tržišť zvyšuje produktivitu, filtrováním nepracovního provozu.
IDS/IPS: detekce a blokace vniknutí
IPS (Intrusion Prevention System) je nasazena inline — provoz prochází skrz ni po firewallu. Blokuje škodlivý provoz za běhu, upozorňuje odborníka na IB.
Metody analýzy:
- Signaturní: porovnání s databázemi (sekvence bajtů, haše, SQL-injekce). Předem shromažďuje fragmentované pakety.
- Anomální: baseline normálního provozu (například stejný příchozí/odchozí objem v pracovní dny). Blokuje odchylky, riziko falešných poplachů.
- Heuristický: pravidla pro podezřelé chování (brute-force autorizací, DNS flood).
IDS (Intrusion Detection System) je připojena k SPAN-portu přepínače, analyzuje kopii provozu, generuje upozornění bez blokace. Používá se v kritických zónách, kde jsou nepřijatelné falešné blokace.
DLP: prevence úniku dat
DLP (Data Loss Prevention) skenuje provoz a aktivitu na koncových bodech pro úniky důvěrných dat. Kontroluje email, webové nahrávky, messengery, USB, tiskárny, schránku, screenshoty.
Metody detekce:
- Regulární výrazy: vzory pasů, IČO, karet (obcházeno nahrazením číslic písmeny).
- Digitální otisky: haš referenčních dokumentů, odolný proti přejmenování/drobným úpravám.
- Lingvistická analýza: klíčové fráze jako "obchodní tajemství".
- Značky: razítka "Důvěrné".
- Behaviorální: anomálie (účetní kopíruje databázi klientů v noci).
Typy DLP:
| Typ | Rozmístění | Výhody | Nevýhody |
|-----|------------|--------|----------|
| Programový | Agenti na koncových bodech | Vidí lokální aktivitu (flash disky, tiskárny) | Náročný na zdroje, instalace na každý PC |
| Síťový | Na hranici sítě | Pokrývá všechny (včetně mobilních), bez agentů | Nevidí lokální akce |
SIEM a Sandbox: sběr a izolace hrozeb
SIEM (Security Information and Event Management) agreguje logy ze všech SZÍ, koreluje události pro odhalení incidentů. Zajišťuje centralizovaný monitoring.
Sandbox izoluje podezřelé soubory/provoz ve virtuálním prostředí, detekuje chování (například ransomware). Často integrován v NGFW.
Co je důležité
- Firewall je povinný na hranici sítě; NGFW je preferován pro L7-analýzu.
- IPS inline pro agresivní ochranu, IDS v pasivním režimu pro monitoring.
- DLP kombinuje signatury a chování; vybírejte typ podle scénáře (endpoint vs síť).
- SIEM a Sandbox doplňují stack pro komplexní viditelnost hrozeb.
— Editorial Team
Zatím žádné komentáře.