Журнал "Директор по безопасности" Июль 2020 | Page 25

ИНСТРУМЕНТЫ
БЕЗОПАСНОСТИ
Межсетевой
экран нового
поколения –
универсальное
средство
безопасности
ДЕНИС БАТРАНКОВ,
эксперт по информационной
безопасности
Основную угрозу компании несут
действия собственных работников.
Также всегда есть скрытые
от отдела ИТ внутренние ресурсы
и приложения, которые называются
Shadow IT.
Часто сотрудники компании не
хотят обращаться к администраторам
ИТ, чтобы получить разрешение
на использование нужных им программ.
Поэтому разработчики популярных
приложений, таких как
Skype, Telegram, FriGate, Bittorent, Tor,
TeamViewer заранее программируют
так, чтобы обходить стандартную
сетевую защиту обычных межсетевых
экранов и подключаться к своим серверам,
используя уже разрешенные
для других целей каналы.
В корпоративной сети все больше
устройств Интернета вещей, которые
не контролируются: веб-камеры,
принтеры, системы хранения, различные
датчики.
В продуктах компаний Google,
Microsoft, Oracle, Apple, Cisco, IBM постоянно
находят уязвимости. Ваши
собственные разработчики используют
сторонние контейнеры для сред
docker, kubernetes, в которых всегда
есть уязвимости. Хакеру несложно
найти у всех компаний системы, которые
содержат уязвимости. И за всем
этим количеством потенциальных рисков
нужно установить контроль.
Мир под названием «работаю из
дома» – новая реальность, и организации
больше, чем когда-либо, нуждаются
в поддержке специализированных
средств для анализа того огромного
объема данных от устройств сетевой и
хостовой защиты, чтобы вовремя распознать
аномальное или вредоносное
поведение. Ведь логин и пароль сотрудника
могут просто украсть. Как вы
отличите коллегу от хакера, который
зашел, используя украденный пароль?
При этом, в отрасли информационной
безопасности не существует
единой технологии, которая решает
разом все задачи. Вы постоянно инвестируете
в новые решения, в погоне
за минимизацией все новых угроз,
которые появляются в мире. У вас
много разрозненных средств защиты.
И этими разрозненными решениями
сложно управлять.
Раньше для защиты сети использовалось
несколько устройств: прокси-сервер
для защиты веб-трафика,
антивирус для веб трафика и для сетей
Микрософт, антивирус для почты, старый
межсетевой экран для контроля
доступа по адресам устройств, система
предотвращения атак с сигнатурами,
которые разрабатывает постоянно
внешняя лаборатория, песочницы для
нахождения направленных атак, системы
поведенческого анализа трафика и
пользователей: Network Traffic Analysis
и User and Entity Behavior.
Сейчас есть возможность купить
устройство, где весь этот функционал
реализован одновременно. И это не
просто дань моде, это новое поколение
средств защиты, заменяющее
сразу несколько существующих, что
приводит к экономии средств и одновременно
упрощает управление.
Межсетевые экраны нового поколения
позволяют разрубить этот гордиев
узел и собрать разные системы
безопасности в единое целое и сразу
автоматически распознать и заблокировать
инцидент.
Угрозы, аномалии, странный трафик,
трафик пользователей и приложений
– все это показывает сетевое
устройство под названием межсетевой
экран нового поколения или по-английски
Next Generation Firewall (NGFW). С
ним вы можете четко увидеть, кто получил
удаленный доступ к вашей компании:
собственные сотрудники, партнеры
или хакеры. Вы теперь можете идентифицировать
маскировку трафика одних
приложений под другие.
Поскольку все функции сосредоточены
в едином устройстве, то решение
проблем с сетью теперь осуществляется
в одном окне. Чаще всего
для управления достаточно любого
браузера. NGFW пропускает через
себя трафик периметра, ЦОД, включая
виртуальные системы SDN и VDI,
подключенных по VPN сотрудников и
обеспечивает полную видимость сети,
предотвращает утечки данных, взлом
и проактивно отражает атаки.
NGFW сложное в изготовлении
устройство, которое требует наличия
собственной исследовательской лаборатории,
которая круглосуточно
обновляет модули защиты, поскольку
атаки идут со всего мира.
При этом имеющийся большой перечень
встроенных функций защиты
позволяет собственным сотрудникам
приобщаться к новым технологиям защиты,
которые разрабатывают мировые
исследовательские лаборатории.
NGFW помогает и ИТ- и ИБ-службам
компании контролировать периметр
сети, устройства и приложения,
в том числе от направленных на компанию
фишинговых атак, нового вредоносного
кода, программ-вымогателей
и скрытых туннелей.
Устройство NGFW решает сразу
несколько задач. Простота использования
и качество работы всего этого
функционала – самая популярная
причина выбора этого решения.
В сети компании обычно
несколько сотен, а в мире
всего несколько тысяч
различных приложений
для передачи файлов, видео,
голоса, сообщений, команд
и других типов трафика
Какие основные выгоды дает NGFW:
Видимость всего, что происходит
в сети. Чтобы заработала эта функция,
в лаборатории производителя должны
постоянно изучаться приложения
и выходить новые сигнатуры, которые
бы по контенту или по поведению обнаруживали
принадлежность каждого
пакета к тому или иному приложению
сотрудника или сервиса сети. В сети
компании обычно несколько сотен, а в
мире всего несколько тысяч различных
приложений для передачи файлов, видео,
голоса, сообщений, команд и других
типов трафика.
Идентификация несанкционированных
приложений сотрудников и
файлов в них, проверка вредоносного
кода и идентификация атак внутри,
обнаружение аномалий, включая
попытки обхода защиты – все функции
защиты работают вместе в одном
устройстве нового поколения и по
любому порту. Самое главное, чтобы
этот функционал имел поддержку
исследовательской лаборатории, которая
каждую минуту обновляет эту
защиту и добавляет новые функции, в
соответствии с новыми угрозами, появляющимися
во всем мире.
Правила для сетевого трафика пишутся
по критерию имя пользователя
и имя приложения. В старых межсетевых
экранах правила пишутся по
критерию адрес и порт. Когда придумали
Интернет, то договорились, что
в каждом соединении будет параметр
«порт», который означает приложение.
Но сейчас это уже не так. Методика
проверки порта в трафике устарела,
потому что сейчас по одному
порту, например, по 443, может ходить
более тысячи приложений. И старыми
методиками вы можете либо их
все запретить или все разрешить.
Данная особенность NGFW также
позволяет соблюсти требования регулирующих
органов по сегментации
сетей и по защите сотрудников подключающихся
по VPN. Например, в
новом ГОСТ Центрального банка РФ
в требованиях к сетевой сегментации
явно прописано, что должна быть реализована
контентная фильтрация на
уровне приложений. С 2021 года все
финансовые организации будут жить
по новому стандарту информационной
безопасности – ГОСТ Р 57 580.
Гибкость настроек и «дружественный
интерфейс» консоли управления
нового поколения позволяют рационально
распределять ресурсы ИБ на
существующие задачи.
NGFW реализует для каждого приложения
несколько слоев защиты
сети. Для веб-трафика вам нужна проверка
по базе URL категорий, для RDP
защита от перебора паролей, и также
система предотвращения атак, антивирус,
песочница, контроль передачи
файлов, контроль запросов DNS к
вредоносным сайтам, встроенная система
Threat Intelligence.
Единая панель управления всем
множеством функций управления сетью
и безопасностью. Вы уменьшаете
количество узлов анализа трафика
до одного и оставляете одну панель
управления.
NGFW это ваши глаза и уши внутри
сети, благодаря обогащенным
деталями журналам из разных сетевых
сегментов. Вы можете получить
информацию обо всех приложениях,
которыми пользуется сотрудник, обо
всех файлах, которые он принимает
и передает, обо всех категориях URL,
которые он посещает, обо всех вредоносных
файлах, которые к нему пришли
или об аномалиях его поведения.
Также часто NGFW имеет встроенный
механизм защиты от утечек информации
и анализ передаваемых файлов
дополнительными механизмами поведенческого
анализа и machine learning.
Также контролируется и Интернет
вещей: принтеры, кофе-машины, видеокамеры,
роутеры, хранилища файлов
и другие системы, не входящие обычно
в область контроля, что уже приводило
к серьезным атакам на сети.
Формирование правил по пользователям
и группам. Динамические
группы пользователей из вашего домена
и других систем сохраняются в
NGFW. Устройство защиты интегрируется
с системами идентификации и
аутентификации сотрудников и позволяет
в правиле указать доступ согласно
группе сотрудника в компании из
той точки планеты, где он сейчас находится:
внутренняя сеть или гостевая
сеть, из отеля, из самолета. В условиях
динамически меняющейся среды
данная функция бесценна. Например,
NGFW может считывать из журналов
Active Directory, какие сотрудники
сейчас активны, откуда они подключились
и динамически разрешать им доступ.
Или с клиентов VPN получать информацию
об установленном софте
у конкретного пользователя и требовать
обновить антивирус, если он давно
не получал новые сигнатуры.
Продвинутые функции безопасности.
NGFW позволяет проверить
контент файлов не просто антивирусом,
а запустить в специализированной
среде под названием «песочница»,
чтобы проверить поведение
этого файла, когда он дойдет через
почту или через браузер к сотруднику.
Также обычно есть функционал
контроля утечек конфиденциальных
данных. Задайте себе вопрос, контролируете
ли вы сейчас файлы и вирусы
в основных ваших приложениях:
электронная и веб-почта, браузеры
и файлобменники, социальные сети
и файловые хранилища. Обычно это
протоколы HTTP, FTP, SMTP, POP3, IMAP
и их SSL версии, и наверно самый важный
тут SMB, ведь он уже неоднократно
использовался в атаках на корпоративные
сети. Например, сетевой
червь, зашифровывающий файлы у
сотрудников, под уже ставшим нарицательным
именем wannacry распространяется
по сети Микрософт, которая
использует протокол SMB. И этот
червь до сих пор еще встречается.
Половина сайтов сейчас работает
на протоколе HTTP/2, в основе которого
шифрование SSL. Чтобы гарантировать
безопасность внутри зашифрованных
каналов, NGFW умеет
вскрывать SSL соединения и проверять
всеми встроенными движками защиты.
Также здесь может быть выполнен
контроль встроенным DLP или трафик
может быть отдан на внешний DLP.
Ускорение и автоматизация реагирования
на угрозы. Позволяет своевременно
блокировать атаки и поддерживать
сеть в боевой эксплуатации. Вы
не только видите, что происходит, но и
автоматически предотвращаете.
Подробные графики и отчеты.
Показывают бизнесу эффективность
защиты внешнего периметра. Чем
удобнее и быстрее вашим сотрудникам
работать с устройствами защиты,
тем меньше у компании на операционные
расходы. Этот важный момент
реализуется именно устройствами
класса все-в-одном.
NGFW это основная линия защиты
для всех подключающихся удаленно к
вашей сети по VPN. Вы можете проверить
соответствие корпоративным политикам
конфигурации операционных
систем и установленных приложений
на самих устройствах своих мобильных
сотрудников. Например, вы можете
проверить, что сотрудник подключается
внутрь сети только с защищенного
компьютера: проверить наличие антивируса,
обновлений и других корпоративных
средств защиты. Эта проверка
тоже реализована внутри NGFW.
Интеграция с другими системами.
NGFW важный источник информации
для средства мониторинга и корреляции
событий (SIEM). SOC компании
получает богатый источник данных от
NGFW, аналитики лучше понимают,
что передавал сотрудник, какие приложения
он использовал.
Производительность. Скорость
работы всех функций зависит от реализации
NGFW в виде единого блока
кода, когда весь функционал написан
одним разработчиком. Это рассматривается
клиентами как архитектурное
преимущество по сравнению с последовательным
анализом трафика различными
компонентами разных производителей,
хотя и запускаемых всех
программ на одном устройстве. Сейчас
на рынке есть средства защиты, которые
позволяют работать с трафиком
до 360Гбит/с в режиме, когда все модули
защиты включены одновременно.
Такие устройства используют специализированные
платы и чипы ускорения
функций безопасности.
Поддержка различных сетевых
сред. Существуют виртуальные
NGFW для различных облачных и SDN
фреймворков, контейнеров Docker
и Kubernetes. Лидеры рынка информационной
безопасности показывают
готовность решать актуальные
в будущем проблемы клиентов, для
этого совместно с другими производителями,
такими как VMware, Citrix,
Amazon, Microsoft, Google, разрабатывают
новые стандартны безопасности
и новые технологии.
Современное развитие компаний
предполагает использование облаков,
там тоже активно используются межсетевые
экраны нового поколения.
Производители специально пишут такой
софт, чтобы все типы NGFW и аппаратные,
и виртуальные, и облачные
управлялись из единого окна.
Современное развитие
компаний предполагает
использование облаков, там
тоже активно используются
межсетевые экраны нового
поколения