Powrót do strony głównej

ŚOI: firewall IDS IPS DLP SIEM

Artykuł omawia kluczowe ŚOI: zapory sieciowe (stateless, stateful, NGFW), IDS/IPS z metodami analizy, DLP do zapobiegania wyciekom, SIEM i sandbox. Opisane zasady działania, typy wdrożeń i scenariusze zastosowań dla specjalistów IB.

Firewall, IDS/IPS, DLP: podstawowe ŚOI w IB
Advertisement 728x90

Podstawowe środki ochrony informacji: firewall, IDS/IPS, DLP i SIEM

Zapory sieciowe, systemy wykrywania i zapobiegania włamaniom, DLP oraz SIEM tworzą podstawowy stos do ochrony sieci korporacyjnych. Narzędzia te filtrują ruch, monitorują anomalie i zapobiegają wyciekom danych, działając na różnych poziomach protokołu. Przeanalizujemy ich zasady działania, typy i scenariusze zastosowania dla średniozaawansowanych i senior specjalistów bezpieczeństwa informacji.

Zapory sieciowe: od stateless do NGFW

Zapora sieciowa (firewall) znajduje się na granicy sieci za routerem, przepuszczając cały ruch między siecią lokalną a internetem. Domyślnie obowiązuje zasada "wszystko zabronione, oprócz wyraźnie dozwolonego" — bez reguł dostęp jest niemożliwy.

Stateless firewall analizuje każdy pakiet izolowanie według reguł: źródłowy adres IP, źródłowy port, docelowy adres IP, docelowy port. Nie uwzględnia kontekstu połączenia, wymaga lustrzanych reguł dla ruchu przychodzącego/wychodzącego. Skalowanie utrudnione ze względu na rosnącą liczbę reguł.

Google AdInline article slot

Stateful firewall prowadzi tabelę stanów połączeń (state table), automatycznie przepuszczając ruch odpowiedzi. Działa na L4 (warstwa transportowa), nie widzi ataków na poziomie aplikacji.

NGFW (Next-Generation Firewall) inspekcjonuje payload pakietów:

  • Rozpoznaje aplikacje niezależnie od portów (np. Telegram na 443).
  • Blokuje na podstawie domen.
  • Integruje antywirusa, sandbox oraz IPS/IDS.

Przykład: blokowanie YouTube i platform zakupowych zwiększa wydajność, filtrując ruch nieroboczy.

Google AdInline article slot

IDS/IPS: wykrywanie i blokowanie włamań

IPS (Intrusion Prevention System) wdraża się inline — ruch przechodzi przez nią po firewallu. Blokuje złośliwy ruch na bieżąco, powiadamiając specjalistę ds. bezpieczeństwa.

Metody analizy:

  • Sygnaturowa: porównanie z bazami danych (sekwencje bajtów, hasze, iniekcje SQL). Wcześniej zbiera sfragmentowane pakiety.
  • Anomalijna: baseline normalnego ruchu (np. równy przychodzący/wychodzący wolumen w dni robocze). Blokuje odchylenia, ryzyko fałszywych alarmów.
  • Heurystyczna: reguły podejrzanego zachowania (brute-force autoryzacji, DNS flood).

IDS (Intrusion Detection System) podłącza się do portu SPAN przełącznika, analizuje kopię ruchu, generuje alerty bez blokowania. Stosowana w krytycznych strefach, gdzie niedopuszczalne są fałszywe blokady.

Google AdInline article slot

DLP: zapobieganie wyciekom danych

DLP (Data Loss Prevention) skanuje ruch i aktywność na endpointach pod kątem wycieków poufnych danych. Kontroluje email, przesyłanie webowe, komunikatory, USB, drukarki, schowek, zrzuty ekranu.

Metody detekcji:

  • Wyrażenia regularne: wzorce paszportów, NIP, kart (omijane przez zastępowanie cyfr literami).
  • Odcisk cyfrowy: hasz dokumentów wzorcowych, odporny na zmianę nazwy/drobne modyfikacje.
  • Analiza lingwistyczna: kluczowe frazy jak "tajemnica handlowa".
  • Znaczniki: klauzule "do użytku służbowego".
  • Behawioralna: anomalie (np. księgowa kopiuje bazę klientów w nocy).

Typy DLP:

| Typ | Wdrożenie | Zalety | Wady |

|-----|---------------|-------|--------|

| Programowy | Agenty na endpoint | Widzi aktywność lokalną (pendrive'y, drukarki) | Zasobochłonny, instalacja na każdym PC |

| Sieciowy | Na granicy sieci | Obejmuje wszystkich (w tym mobilnych), bez agentów | Nie widzi działań lokalnych |

SIEM i Sandbox: agregacja i izolacja zagrożeń

SIEM (Security Information and Event Management) agreguje logi ze wszystkich środków ochrony, koreluje zdarzenia w celu wykrycia incydentów. Zapewnia scentralizowany monitoring.

Sandbox izoluje podejrzane pliki/ruch w środowisku wirtualnym, wykrywając zachowanie (np. ransomware). Często zintegrowany z NGFW.

Co jest ważne

  • Firewall obowiązkowy na granicy sieci; NGFW preferowany do analizy L7.
  • IPS inline dla agresywnej ochrony, IDS w trybie pasywnym do monitoringu.
  • DLP łączy sygnatury i zachowanie; wybierz typ według scenariusza (endpoint vs sieć).
  • SIEM i Sandbox uzupełniają stos dla kompleksowej widoczności zagrożeń.

— Editorial Team

Advertisement 728x90

Czytaj dalej