Все заказчики этого хотят: что сегодня нужно пользователям NGFW

Все заказчики этого хотят: что сегодня нужно пользователям NGFW

Вокруг нас происходят события, которые в корне изменили структуру предложения на рынке ИТ-продуктов. Несмотря на то, что некоторые западные NGFW продолжают функционировать, продажа и продление лицензий приостановлена, многие компании остались без технической поддержки, не смогут получить обновления баз сигнатур.

Что в текущей ситуации российские вендоры предложат заказчику? Какие функции NGFW являются ключевыми, по мнению заказчиков, и каким требованиям они должны удовлетворять? Нужен ли нашему заказчику аналог или полная копия известного зарубежного решения, или решение, созданное с учетом актуальных потребностей российских организаций, рассказала Софья Худякова, руководитель отдела продуктовой аналитики компании «РТК-Солар».

Блокирование трафика от недоверенных источников (межсетевое экранирование) — одна из базовых и старейших технологий сетевой безопасности. Развитие методов взлома информационных систем, появление новых угроз и уязвимостей явилось драйвером развития технологий защиты данных и систем. Производители добавляют новые функции защиты в файерволы, решения приобретают более комплексный характер и сочетают в себе различные инструменты. В итоге системы по защите сети эволюционировали в комплексные продукты класса NGFW – межсетевые экраны нового поколения.

Межсетевой экран нового поколения, NGFW – это многофункциональное устройство, внутри которого реализованы многие необходимые функции сетевой безопасности. Во многих компаниях NGFW является ядром информационной безопасности в части защиты от сетевых угроз периметра, поскольку включает в себя большинство необходимых сервисов: фильтрация и глубокий анализ трафика, предотвращение вторжений, антивирус, VPN и прочее.

Долгое время большую часть потребностей рынка удовлетворяли средства защиты сети из «большой четверки»: Cisco, Fortinet, Palo Alto, Check Point. И неудивительно, ведь на выбор решений влияют: простота и широта настройки, высокая эффективность, удобный и понятный интерфейс, а западные решения в полной мере соответствуют этим требованиям.

Однако вокруг нас происходят события, которые в корне изменили структуру предложения на рынке ИТ-продуктов. Несмотря на то, что некоторые западные решения продолжают функционировать, продажа и продление лицензий приостановлена, многие компании остались без технической поддержки, не смогут получить обновления баз сигнатур.

Обновление сигнатур особенно критично для решений класса NGFW. Ведь для обеспечения безопасности системы анализируют сигнатуры и сопоставляют с актуальной базой. Если база сигнатур недоступна, при появлении новой уязвимости межсетевой экран не получит сигнатуру и сетевой периметр организации становится уязвимым.

В самом негативном варианте развития событий приостановка функционирования средств защиты информации приведет не только к финансовым потерям или ущербу репутации компании, но и может быть причиной остановки производственных процессов, что недопустимо для организации.

Что в текущей ситуации российские вендоры предложат заказчику? В какую сторону будет развиваться рынок разработки отечественных решений? Нужен ли нашему заказчику аналог или полная копия известного зарубежного решения, или решение, созданное с учетом актуальных потребностей российских организаций?

Мы в «РТК-Солар» стремимся развивать решения вместе с нашими пользователями, чтобы обеспечить максимально востребованные функции в продуктах, способных решить максимум задач заказчиков. Чтобы получить ответы на вопросы, наша компания провела исследование, в котором о средствах защиты сети класса NGFW рассуждали специалисты ИБ и ИТ, отвечающие за выбор и внедрение продуктов и сервисов по информационной безопасности.

Очевидно, что качественное решение характеризует совокупность множества факторов, среди которых не только функциональность продукта, но и квалифицированная и быстрая техподдержка, производительность, отказоустойчивость, наличие сертификата, оптимальное соотношение цена-качество. Все названные критерии бесспорно важны и играют ключевую роль в принятии решения о выборе NGFW в организации. Однако в этом обзоре рассмотрим только функции межсетевых экранов – какие из них, по мнению наших заказчиков являются ключевыми, и уточним у экспертов, какие требованиям эти функции должны удовлетворять, как они должны быть устроены, чтобы быстро и эффективно решать задачи пользователей.

WEB-фильтрация

Функциональность фильтрации трафика – ограничение доступа к определенному перечню ресурсов, содержат все решения данного класса. Если рассматривать крупные компании с разветвленной структурой, могут возникнуть более сложные задачи, чем просто блокировка определенных ресурсов. Один из традиционных примеров – управление доступом к соцсетям.

Обычно правилами компании ограничен доступ к соцсетям в рабочее время. Но для отдела продаж, например, необходим доступ к пабликам – официальным страницам организаций. Рекрутерам, которые занимаются набором персонала, требуется общаться с кандидатами в соцсетсях, а значит, им необходим доступ к персональным страницам, а также чатам и возможности переписки в мессенджерах соцсетей. Для службы маркетинга и PR соцсети вообще рабочий инструмент, им нужен полный доступ в соцсети, в том числе просмотр и публикация медиаконтента.

Для того чтобы с помощью межсетевого экрана реализовать описанную выше схему работы, правильное решение должно уметь:

  1. Определить орг.принадлежность пользователя.
  2. Для этого межсетевой экран должен содержать модуль взаимодействия с контроллером домена, чтобы обеспечивать не только сопоставление IP-адреса пользователя и его идентификатора, но и тем или иным способом (периодическим опросом или с помощью подписки на оповещения) обновлять таблицу соответствия между идентификаторами пользователей и IP-адресами, которые пользователи в данный момент используют. Это позволит строить правила на основе пользователей и отделов, а не IP-адресов.

  3. Поддерживать категоризацию трафика с требуемым уровнем детализации.
  4. Качество детализации определяется количеством категорий справочника и оптимальным уровнем вложенности. В примере с соцсетями необходимо классифицировать трафик таким образом, чтобы создать правила пользования соцсетями для разных групп пользователей.

Каким еще требованиям должен отвечать «правильный» модуль категоризации?

Категоризатор трафика

Идеальный категоризатор в NGFW – тот, который обеспечивает желаемый результат и не требует никаких вмешательств от пользователя. Однако мир и задачи пользователей гораздо богаче и разнообразнее, чем любые гипотезы разработчика о том, каким должен быть хороший набор функций продукта. Поэтому правильное решение должно обеспечивать удобный интерфейс для настройки категоризатора, например, изменить категорию для ресурса или вручную добавить нужный специфический ресурс в категоризатор.

Хорошо, если решение поддерживает механизм интеграции базы данных Роскомнадзора – ресурсов, содержащих информацию, распространение которой запрещено в Российской Федерации. Конечно, блокировка нежелательных сайтов, как правило, происходит на уровне провайдера, однако в нашей практике встречались случаи, когда заказчикам важно было настроить правило блокировки на своем межсетевом экране.

Помимо категоризации трафика, полезно, если система поддерживает работу с контентной фильтрацией, то есть выполняет анализ содержимого передаваемой страницы по ключевым словам, а также изменения содержимого, при необходимости, например, вырезание рекламных баннеров.

Для того, чтобы снизить объем работ по настройке фильтрации, набор ключевых слов, по которым проверяется трафик, должен поставляться вендором «из коробки». Однако применение предустановленных настроек «напрямую» не позволит корректно решить все задачи фильтрации.

Например, при внедрении NGFW для учебного заведения, было настроено правило категоризатора, включающее блокировку по ключевому слову «суицид». В результате в блоке оказался не только нежелательный контент, но даже сайты, противодействующие суициду, сайты по психологии и пр. Отсюда следует, что хороший категоризатор должен содержать дополнительные полезные функции, упрощающие настройку, например:

  • настройка весового коэффициента (правило фильтрации срабатывает, если ключевое слово встречается указанное количество раз);
  • настройка исключений (белый список);
  • справочник, содержащий объекты политики. Справочник наполняется администратором, вручную прописываются ресурсы, части URL. Например, в справочник можно занести списки собственных ресурсов. Справочник облегчает настройку политики безопасности и позволяет гибко настроить ее.

Итак, правильный подход к категоризации трафика: вложенные категории, предустановленные правила контентной фильтрации, возможности гибкой настройки категоризатора помогут обеспечить требуемый уровень фильтрации для решения задач организации.

IPS

Система предотвращения вторжений (IPS) — это защита внутренних ресурсов компании от известных сетевых атак «извне». Некоторые вендоры поставляют систему как отдельный продукт, который может быть не только программным обеспечением, но и аппаратным устройством, требующим отдельного оборудования. В этом случае интеграция в систему безопасности требует дополнительного места в стойке для размещения устройств, организации источника питания, дополнительных портов.

Большая часть респондентов нашего исследования считает необходимым наличие IPS «на борту» межсетевого экрана.

В части требований к функционалу IPS все респонденты отмечают наличие и удобство настроек для управления сигнатурами. Какие настройки нужны и почему это важно?

Управление сигнатурами

Набор сигнатур, как правило поставляется вендором «из коробки». Однако эксперты отмечают, что использование дефолтных настроек IPS, с одной стороны, не вполне отвечают требованиям безопасности, с другой стороны, влечет огромную нагрузку на инфраструктуру и большое количество ложноположительных срабатываний. Следствием может стать блокировка легального трафика, необходимого для функционирования систем организации.

Проверять весь трафик всеми доступными сигнатурами очень дорого с точки зрения ресурсов и времени. Чтобы IPS экономно расходовал ресурсы, нужно уметь включать нужные и исключать ненужные сигнатуры. Однако изначально непонятно, какие сигнатуры действительно нужны. Внешне сигнатура выглядит как набор символов, как разобраться, что это за сигнатура, для чего она, сильно ли нагрузит шлюз, насколько она критична.

Полезно, когда консоль управления содержит возможность хранить описание сигнатуры, возможность отфильтровать по вендору (Мicrosoft или Bitrix) или по продукту (MS Office или DocsVision), объединять сигнатуры в группы и управлять группами.

Например, DMZ компании представлена парком машин под управлением ОС Linux, в этом случае трафик, поступающих в этот сегмент не имеет смысл проверять правилами на основе сигнатур для ОС Windows. То есть необходима возможность создать группу правил для Linux-машин и применить его для указанного сегмента сети. Для обработки трафика, поступающего на клиентские АРМ под управлением Windows, следует создать отдельную группу правил.

Чтение логов

Не имеет смысла единожды настроить систему и забыть про нее. Нужна непрерывная доработка. Выявить слабые места в правилах безопасности поможет анализ логов. Однако IPS, как и любая система, порождает огромное количество логов. Для того, чтобы понять, какие события происходят чаще всего, какие сигнатуры надо выключить, какие хосты заблокировать межсетевым экраном, придется анализировать несколько тысяч записей логов в день.

Отсюда следует, что крайне важен удобный интерфейс чтения логов, включающий удобный поиск по логам и фильтрация по IP-адресам, по критичности и пр.

Постоянный анализ логов и последующая оптимизация правил позволит исключить ненужные сигнатуры, следовательно, видеть в логах только действительные атаки и снизить нагрузку на инфраструктуру.

Однако, даже правильно настроенная IPS нуждается в непрерывной тщательной доработке и обновлении. Поэтому самые важные требования к системе IPS – те, что обеспечат удобный интерфейс и возможность гибкой ручной настройки, в частности, возможность:

  • включать и отключать сигнатуры;
  • фильтровать сигнатуры по разным атрибутам;
  • создавать и применять группы правил сигнатур;
  • настроить реагирование на правило (отключить сессию, пропустить сессию, но отправить уведомление администратору, отключить правило);
  • удобного поиска и фильтрации записей лога.

Application Control

C задачей контроля приложений при управлении сетевой безопасностью сталкиваются все организации. Под приложениями понимаются не только классические клиент-серверные приложения, но и приложения в формате web. Соцсети, как правило, представлены набором веб-приложений, например, приложения для размещения постов, медиаплеер, мессенджер, различные виджеты и пр. Например, мессенджер Skype использует для работы десятки разных портов. Для создания правил фильтрации для ограничения или блокировки использования приложения необходимо настроить проверку всех возможных портов. Альтернатива – настройка в NGWF функции Application Control, которая идентифицирует приложения, используя сигнатурный анализ.

Возвращаясь, к примеру с разграничением доступа к соцсетям: если ваш NGFW поддерживает интеграцию с каталогом пользователей, мы можем определить группы пользователей. Функция Application Control определяет приложение, это означает, что можно создать правила для разрешения, ограничения или блокировки использования приложений соцсетей разными группами пользователей.

Качество модуля контроля приложений в NGFW определяется количеством приложений, которое он может определять. В этом случае работает правило «Чем больше, тем лучше». Однако проблема управления приложениями состоит в том, что часть трафика приложений остается нераспознанной. Это происходит по причине того, что приложения обновляются, появляются новые. Это означает, что продукт должен постоянно поддерживать базу возможных приложений в актуальном состоянии: исследовать и контролировать изменения в старых приложениях, добавлять сигнатуры новых. Кроме того, если файервол не может автоматически определить класс приложения, нужна возможность вручную определить нужную категорию или назначить приложению нужную политику.

Итак, для того чтобы модуль контроля трафика приложений в NGFW обеспечивал удобство настройки и создания правил, он должен поддерживать следующие возможности:

  • Классификация приложения по категориям, например, бизнес-системы, видеоконференции, браузеры, игры, и т д; а также другим критериям: типу, объему потребляемых ресурсов, уровню риска. Это позволит администратору использовать группы программ, отдельных приложений, создавать исключения из правил, приоритезировать правила при составлении политики;
  • Устанавливать разрешенный или запрещенный набор приложений («черные» и «белые» списки);
  • Возможность ручного определения категории приложения администратором;
  • Настройка реагирования на конкретное приложение (разрешить использование, запретить, временно заблокировать, записать в лог). Например, при попытке запуска неизвестного приложения, заблокировать запуск и уведомить администратора. Таким образом блокируется нежелательное ПО, в том числе вредоносное;
  • Актуализация базы приложений.

Итак, функция контроля приложений не только позволяет реализовать политику безопасности, регулирующую использование приложений, необходимых бизнесу, но и защищает от угроз из Интернета и вредоносного ПО.

Централизованное управление обновлениями

Наши респонденты, эксперты, с которыми мы обсуждали рабочие гипотезы, являются в основном представителями крупных коммерческих организаций с численностью более 10 000 сотрудников. В таких организациях, как правило, достаточно крупная и разветвленная сетевая инфраструктура, а количество инстансов межсетевых экранов может исчисляться десятками. В этом случае становится актуальным вопрос обслуживания и настройки парка межсетевых экранов.

Новые угрозы появляются ежедневно, вендоры оперативно реагируют на них выпуском патчей и обновлений на ПО, а базы сигнатур для IPS или антивируса обновляются в течение нескольких часов. С появлением каждой новой угрозы межсетевой экран, если его не обновлять, становится чуть менее полезным, а инфраструктура чуть более уязвимой. Другими словами, чтобы система безопасности не утрачивала актуальность, обновления нужно накатывать очень оперативно.

Обновление нескольких межсетевых экранов означает, что необходимо: скачать обновление на каждой ноде, где установлен NGFW, либо скачать обновление единожды и перенести на прочие на внешнем носителе. Как правило, регламентные работы проводятся в нерабочее время. И, конечно же, не следует обновлять одновременно все инсталляции, лучше запланировать обновление поэтапно.

Появление нового оборудования влечет необходимость установки и настройки каждого отдельно взятого межсетевого экрана, что увеличивает трудозатраты, нагрузку на сеть и не обеспечивает нужную оперативность.

Итак, для оперативности и удобства управления обновлениями необходима центральная консоль, которая позволит видеть все инсталляции межсетевых экранов, быть представленной удобным графическим интерфейсом и поддерживать следующие функции:

  • Скачивать обновления единожды на основную ноду и установить на остальные;
  • При появления нового межсетевого экрана, добавить его через консоль и применить стандартные настройки;
  • Применить стандартные правила фильтрации трафика на все инстансы сразу;
  • Создавать группы однотипных правил для нескольких межсетевых экранов;
  • Запланировать установку обновлений поэтапно, например, ночью, чтобы не создавать нагрузку на сеть и не вызывать сбои.

Выводы

Исследование потребностей российских заказчиков NGFW выявило, что, по мнению экспертов отрасли, современный NGFW – не просто набор функций, объединенных в одном решении. Принципы контроля информационных потоков, основанные на технических характеристиках трафика, уходят в прошлое. Запрос экспертов состоит в комплексном решении, реализующем политику безопасности в модели «пользователь – контент». Иными словами, политика должна запрещать или разрешать определенному пользователю потреблять определенные типы контента, как бы они технически ни передавались.

Как известно, информационная безопасность – не результат, а процесс. Политика безопасности организации должна быть актуальной и оперативно реагировать на возникающие ежечасно угрозы. Процесс тюнинга политики не разовая задача, это постоянный процесс, потому важно предоставить пользователю удобные инструменты анализа и мониторинга трафика и гибкие возможности по управлению и настройке парка межсетевых экранов. Удобство и широта настроек позволит обеспечить тот самый непрерывный процесс обеспечения ИБ с минимальными трудозатратами.

Реклама. Рекламодатель ООО "СОЛАР СЕКЬЮРИТИ", ОГРН 1157746204230.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться