NGFW: ключ к эффективной защите сети от киберугроз

Брандмауэры нового поколения (Next Generation Firewall, NGFW) — это расширенные версии стандартных брандмауэров, которые включают в себя такие функции, как глубокая оперативная проверка пакетов, обнаружение вторжений, фильтрация веб-сайтов и многое другое.

Брандмауэры нового поколения не только идентифицируют, но и полностью блокируют вредоносные пакеты до того, как они попадут в вашу сеть. NGFW могут обнаруживать атаки по всей сети и бороться с ними в режиме реального времени. Поскольку кибератаки становятся все более изощренными, брандмауэры нового поколения останутся важнейшими компонентами решений безопасности любой организации.

В чем смысл брандмауэра нового поколения?

Межсетевой экран нового поколения (NGFW) — это решение сетевой безопасности, которое выходит за рамки возможностей традиционного брандмауэра. В большинстве случаев обычный межсетевой экран позволяет проверять входящие и исходящие сетевые пакеты с учетом состояния. Фаервол разрешает или запрещает сетевой трафик на основе IP-адреса отправителя/получателя, номера порта и протокола. Он также фильтрует трафик на основе предопределенных правил политики и предлагает виртуальную частную сеть.

Межсетевые экраны нового поколения (NGFW) обладают широкими возможностями контроля и наблюдения за приложениями, которые они могут идентифицировать с помощью анализа и сопоставления сигнатур. NGFW могут использовать белые списки или систему предотвращения вторжений на основе сигнатур, чтобы различать безопасные и вредоносные приложения, которые идентифицируются с помощью расшифровки SSL. Кроме того, в отличие от большинства традиционных межсетевых экранов, у NGFW есть возможность для получения будущих обновлений.

В настоящее время межсетевые экраны следующего поколения развертываются:

• в качестве внешнего межсетевого экрана на территории предприятий и филиалов;
• в качестве внутреннего локального брандмауэра;
• в частных облаках, например Cisco ACI, VMware, Proxmox VE;
• в публичных облаках, таких как Google Cloud Platform, Amazon AWS, Microsoft Azure.

Поскольку киберпреступники также нацелены на домашних пользователей, создание межсетевых экранов нового поколения для домашнего использования получает широкое распространение во всем мире.

Что делает межсетевой экран нового поколения?

NGFW можно определить как интегрированную сетевую платформу со скоростью передачи данных, которая выполняет глубокую проверку трафика и блокирует атаки. NGFW должен обеспечивать такие функции как:

• Стандартные возможности межсетевого экрана первого поколения, например, преобразование сетевых адресов (NAT), проверка протокола с отслеживанием состояния (SPI) и виртуальная частная сеть (VPN) и т. д.;
• Непрерывная линейная конфигурация устройств Bump-in-the-wire (BITW);
• Расшифровка SSL для обнаружения подозрительных зашифрованных приложений;
• Сигнатурный механизм IPS;
• Осведомленность о приложениях, полная видимость и детальный контроль;
• Возможность включения данных из-за пределов брандмауэра, таких как белые и черные списки, политика на основе каталогов и т. д.;
• Путь обновления для включения будущих угроз безопасности и информационных каналов;
• Расшифровка SSL для выявления нежелательных зашифрованных приложений.

Возможности брандмауэра нового поколения

Что следует учитывать при выборе брандмауэра нового поколения?

Мощный и эффективный межсетевой экран нового поколения обладает следующими возможностями:

• Он обладает способностью быстро обнаруживать киберугрозы – определять атаки за секунды и обнаруживать утечки данных за минуты;
• Он должен иметь несколько вариантов развертывания, а также гибкую систему управления. Его следует развертывать локально или в облаке, в виртуальных средах или на «голом» железе.
• NGFW должен обеспечивать всестороннюю видимость сети, сообщая об активных приложениях и веб-сайтах, местоположении и времени возникновения угрозы, а также активности угроз среди пользователей, устройств и сетей.
• Мощный межсетевой экран нового поколения также должен иметь расширенные возможности быстрого обнаружения современных вредоносных программ.
• NGFW должен быть в состоянии остановить киберугрозы до того, как они попадут в сеть, иметь самую современную информацию для предотвращения новых угроз и иметь возможности веб-фильтрации для обеспечения соблюдения политик на сотнях миллионов URL-адресов.

В чем важность NGFW?

Развитие технологий во всех аспектах нашей жизни повышает соответствующий уровень угроз. По мере появления новых технологий уязвимости часто упускаются из виду, а их замечают хакеры. Традиционные межсетевые экраны не были готовы к новым возможностям приложений. В результате 80% новых попыток атак вредоносного ПО используют недостатки для проникновения.

Каждый день 80 000 человек становятся жертвами взлома электронной почты, а компании теряют миллиарды долларов в результате таких простых кибератак. Отмечается, что объём HTTP DDoS-атак возрос на 65% в третьем квартале 2023 за счет использования уязвимостей в портах и ​​протоколах. Кроме того, приложения становятся все более необходимыми для повышения эффективности бизнеса, но они уязвимы для киберугроз.

Основным преимуществом использования NGFW является надёжная защита, которую он обеспечивает. Киберугрозы с каждым днем ​​становятся все более распространенными, и ни домашние, ни корпоративные сети не защищены от внешних атак. В результате для каждой организации крайне важно иметь межсетевые экраны нового поколения для защиты от всех типов атак. NGFW также дает высокий уровень комплексной видимости сети, а также множество гибких вариантов управления и развертывания.

Функции брандмауэра нового поколения обнаруживают потенциальные угрозы за считанные секунды, в отличие от других средств. В результате защита становится более совершенной, и сегодня без NGFW не может быть в безопасности ни одна организация.

В чем преимущество межсетевого экрана нового поколения?

NGFW предоставляет многочисленные преимущества для всех типов сетей организаций, включая предприятия, малый бизнес и даже домашние сети. Преимущества межсетевого экрана нового поколения подробно описаны ниже.

• Повышенная производительность. Основным преимуществом использования NGFW является возможность безопасного использования веб-приложений. Это позволяет пользователям работать более продуктивно, блокируя при этом нежелательные приложения. NGFW использует глубокую проверку пакетов для идентификации и контроля приложений независимо от их IP-порта.
• Многофункциональность. NGFW — это многофункциональные решения безопасности на единой платформе. Межсетевые экраны нового поколения включают в себя интегрированные системы обнаружения вторжений (Intrusion Detection System, IDS) и системы предотвращений вторжений (Intrusion Prevention System, IPS), которые обнаруживают атаки на основе анализа поведения сети (Network Behavior Analysis, NBA), сигнатур угроз или аномальной активности, в дополнение ко всем функциям традиционных файрволов. Такие функции помогают выполнять более глубокую проверку сетевого трафика и улучшать фильтрацию содержимого пакетов вплоть до уровня приложений.
• Видимость и управляемость. NGFW обеспечивают большую прозрачность приложений и сети. NGFW помогает администраторам видеть трафик из внутренней сети во внешнюю сеть или наоборот. Кроме того, администраторы могут идентифицировать клиентов, которые посещают вредоносные веб-сайты или загружают вредоносный код, а также как называется код и из какой он страны. Такая проблема решается путем интеграции NGFW со сторонними пользовательскими каталогами, такими как Microsoft Active Directory.

Динамическая политика на основе удостоверений обеспечивает более детальную видимость и контроль над пользователями и группами, чем статическая политика на основе IP-адресов, и ею проще управлять. Администраторы определяют объекты только один раз в единой консоли. Когда сетевые брандмауэры обнаруживают новое соединение, IP-адрес сопоставляется пользователю и группе путем запроса стороннего пользовательского каталога. Такое динамическое сопоставление пользователей с IP-адресами избавляет администраторов от необходимости постоянно обновлять политику безопасности.

• Фильтрация контента. Еще одним преимуществом NGFW является фильтрация контента, которая очень полезна для предотвращения утечки данных и предотвращения киберугроз с помощью детальной проверки пакетов в режиме реального времени. Возможности фильтрации контента включают фильтрацию URL-адресов, предотвращение угроз и фильтрацию данных.
• Предотвращение и смягчение угроз. Межсетевые экраны нового поколения включают в себя защиту от вирусов и вредоносных программ, которая автоматически обновляется при появлении новых угроз. Устройство NGFW также сокращает векторы атак, ограничивая запускаемые приложения. NGFW проверяет все приложения на наличие скрытых уязвимостей или утечки конфиденциальных данных. Такая тактика направлена на минимизацию использования полосы пропускания из-за ненужного трафика.
• Расширенный контроль политики. приложение, которое может нанести вред одной организации, может быть полезным для другой. NGFW обеспечивают детальный уровень контроля, предоставляя соответствующим сотрудникам доступ к положительным аспектам приложения и блокируя любой доступ к отрицательным аспектам.
• Низкая стоимость. Поскольку NGFW могут объединить возможности межсетевых экранов, антивирусов, веб-фильтров и других приложений безопасности в одном решении, они также могут быть недорогим вариантом для предприятий, пытающихся повысить безопасность своей инфраструктуры.

В чем разница между NGFW и традиционным межсетевым экраном?

NGFW существенно отличается от методологии проверки пакетов и защиты от вредоносных программ, используемой в традиционных межсетевых экранах. Проще говоря, межсетевой экран нового поколения использует технологию глубокой проверки пакетов (deep packet inspection, DPI) путем интеграции систем предотвращения вторжений (intrusion prevention systems, IPS), а также аналитики и контроля приложений. Это позволяет NGFW визуализировать сетевые пакеты, к которым осуществляется доступ.

Однако наиболее существенным отличием является то, что NGFW распознает приложения и использует более совершенные методы для защиты системы от внешних кибератак. Такие брандмауэры могут распознавать риски кибербезопасности путем анализа и сопоставления сигнатур. NGFW используют системы предотвращения вторжений на основе сигнатур (IPS) и другие сложные инструменты, чтобы определить, является ли внешний источник безопасным.

Еще одно существенное различие между традиционными брандмауэрами и NGFW заключается в том, что брандмауэр нового поколения включает в себя путь для получения будущих обновлений. Такая функция недоступна в традиционных межсетевых экранах.

Межсетевые экраны нового поколения обеспечивают лучшую безопасность ИТ-инфраструктуры. Они основаны на более передовых технологиях безопасности. Ландшафт угроз развивается, и NGFW может использовать данные анализа угроз для обнаружения и предотвращения проникновения в сеть неизвестных киберугроз. Кроме того, NGFW сочетают в себе несколько технологий безопасности, таких как веб-фильтрация, предотвращение вторжений и контроль приложений, на одной платформе.

В долгосрочной перспективе NGFW обычно экономически эффективны. Поскольку NGFW включают в себя несколько решений безопасности на одной платформе, стоимость замены или инвестиций в NGFW меньше общей стоимости всех решений безопасности.

Скорость сети традиционного брандмауэра снижается по мере увеличения количества протоколов безопасности и устройств. Это происходит потому, что скорость выделенной сети не достигает своего полного потенциала, поскольку устройства и службы безопасности становятся все более распространенными. Однако NGFW позволяет добиться максимальной пропускной способности независимо от количества устройств или протоколов безопасности.

Более того, NGFW позволяет организациям более эффективно использовать ресурсы. Комбинируя решения по обеспечению безопасности, организации получают возможность консолидировать управленческие обязанности и значительно повысить личную продуктивность. NGFW также дает ИТ-специалистам лучшее понимание того, как используется полоса пропускания в их инфраструктуре.

Итак, традиционные брандмауэры уже недостаточно сильны, чтобы защитить организации от современных, продвинутых атак. Межсетевые экраны нового поколения могут предоставлять эффективные аналитические данные и элементы управления, которые позволяют использовать стандартные функции межсетевого экрана, IPS-системы, осведомленность о приложениях и дополнительные функции межсетевого экрана.

В чем разница между NGFW и WAF?

Цель NGFW — защитить внутренних пользователей от киберугроз, например, от вредоносного ПО, и обнаружить их активность во внутренней сети компании. Межсетевой экран нового поколения устанавливается перед внутренними пользователями и отслеживает трафик, который пользователи генерируют при подключении к Интернету. NGFW предотвращает несанкционированный доступ к защищенной локальной сети, тем самым снижая риск атак. Его основная цель — отличить безопасную зону от небезопасной и регулировать связь между ними.

Основная цель WAF (Web Application Firewall)— предотвратить внешний вредоносный трафик, который часто исходит от киберпреступников, пытающихся захватить приложение с целью кражи данных клиентов, порчу приложения, DoS-атак или даже попытки проникнуть в сеть из приложения для доступа к внутренним базам данных. WAF работает между внешними пользователями и веб-приложениями для анализа всех HTTP-коммуникаций. Затем WAF идентифицирует и предотвращает попадание вредоносных запросов к пользователям или веб-приложениям. В результате WAF защищает критически важные веб-приложения и серверы от атак на прикладном уровне (Уровень 7 OSI).

В отличие от NGFW, WAF можно тестировать в конвейерах CI/CD во время или после разработки приложения. WAF отображает приложение, его внешний вид и полезные данные, позволяя вам убедиться, что все соответствует и работает правильно.

Отличия WAF от NGFW

WAF отличается от NGFW следующими особенностями:

• Проверка скорости и производительности сайта за счет использования передовых механизмов кэширования;
• Проверка входных данные (предотвращение SQL-инъекции);
• Обнаружение подделки cookie-файлов и атак с подделкой сеанса;
• Защита от межсайтового скриптинга (Cross Site Scripting, XSS);
• Защита от DDoS-атак на уровне приложения;
• Блокировка нежелательного веб-трафика с веб-сайтов и приложений;
• Предотвращение атак на основе уязвимостей приложений;
• Блокировка потенциально конфиденциальных ответов сервера злоумышленников;
• Предоставление виртуальных исправлений для приложений до того, как поставщик выпустит официальное обновление.

Можно ли использовать NGFW и WAF вместе?

Хотя решения NGFW чрезвычайно эффективны, они не могут обеспечить адекватную защиту от всех этих потенциальных угроз. Поэтому в корпоративных сетях, где есть сервер веб-приложений, обслуживающий клиентов через Интернет, следует использовать специальную технологию WAF в сочетании с NGFW.

Брандмауэры веб-приложений защищают серверы и веб-приложения не только от атак на уровне приложений через HTTP(S), но и от атак сетевого уровня (Уровень 3 OSI). Без WAF хакеры могут использовать уязвимости веб-приложений для получения доступа к корпоративной сети.

Таким образом, функции брандмауэра веб-приложений, такие как автоматическое изучение политик, виртуальные исправления, которые немедленно реагируют на обнаруженные угрозы, система, позволяющая различать автоматических ботов и реальных пользователей, а также защита бизнеса посредством мониторинга пользовательских сеансов, имеют жизненно важное значение. По сравнению с существующими NGFW они не сравнимы с WAF, разработанным специально для уровня веб-приложений, а решения NGFW могут обрабатывать вышеуказанные функции лишь в ограниченной степени.

Как NGFW защищает от вредоносных программ?

Защита от вредоносных программ — одно из наиболее важных преимуществ межсетевого экрана нового поколения. NGFW защищает сеть, предотвращая проникновение в нее вредоносных программ и защищая от внешних атак. Межсетевые экраны нового поколения гораздо лучше обнаруживают APT-угрозы (Advanced Persistent Threat, расширенная постоянная угроза).

NGFW — это межсетевой экран уровня приложения (Уровень 7 OSI), то есть он может различать приложения и реализовывать детальные политики безопасности на уровне приложений. NGFW использует методы глубокой проверки пакетов и предотвращения вторжений, которые позволяют принимать более разумные решения о блокировке на основе конкретных критериев и проверять содержимое трафика на наличие угроз, когда одобренным приложениям разрешен доступ в сеть.

Например, вместо политики, которая позволяет всем клиентам (или ни одному клиенту) использовать мессенджер, NGFW будет реализовывать политики, которые позволяют клиентам использовать обмен мгновенными сообщениями способом, который соответствует требованиям компании и не подвергает потенциальному риску.

Возможности предотвращения угроз являются естественным расширением возможностей глубокой проверки пакетов. NGFW проверяют сетевые пакеты, проходящие через брандмауэр, на наличие известных эксплойтов существующих уязвимостей. Для обнаружения вредоносного поведения файлы также можно отправлять за пределы устройства и эмулировать в виртуальной песочнице.

Что такое NGFW, проверяющие трафик между уровнями?

Традиционные межсетевые экраны для управления своими действиями используют только информацию транспортного уровня модели OSI (Уровень 4). С другой стороны, NGFW могут проверять трафик на нескольких уровнях модели OSI (уровни 2–7). Данные с 7 уровня взаимодействуют с пользователем и чаще используются в качестве вектора атаки.

Проверка пакетов NGFW

NGFW проверяет трафик уровня 7, чтобы определить, к каким портам должны подключаться пакеты приложений. А если порт не совпадает, NGFW может заблокировать пакеты. Например, если пакет HTTP отправляется через порт FTP, NGFW пометит его как потенциально подозрительный и предотвратит прохождение пакета. Последовательность действий зависит от разработки политики, которая применяется в этом сценарии. IPS способен обеспечить соблюдение такой политики. Проверка уровня 7 — это компонент функций осведомленности о приложениях, которые распространены в NGFW.

Осведомленность о приложениях является важнейшим компонентом снижения векторов атак в сетевой инфраструктуре. Белый список приложений можно создать на NGFW. В результате подозрительные или неавторизованные приложения, не входящие в этот белый список, не могут пройти через брандмауэр.

Даже если приложение находится в белом списке, это не значит, что ему можно полностью доверять. Доверенное приложение все равно может быть скомпрометировано, а вредоносный контент может быть зашифрован в трафике. Хакер, например, может использовать инструменты стеганографии, чтобы скрыть вредоносный код в, казалось бы, безобидных файлах. Вредоносный контент в приложении может быть обнаружен NGFW, который имеет возможности DPI, используя анализ и сравнение сигнатур, чтобы определить, содержат ли пакеты вредоносный код.

Заключение

Межсетевой экране нового поколения представляет собой критически важный элемент в современной архитектуре кибербезопасности. Он обеспечивает глубокую защиту сетей, интегрируя традиционные функции брандмауэра с передовыми возможностями, такими как инспекция зашифрованного трафика, IDS/IPS, управление приложениями и фильтрация URL. Такие сложные системы не просто предотвращают вторжения и атаки, но и предлагают подробный анализ трафика, улучшая видимость и контроль над сетевыми операциями.

С развитием технологий и увеличением уровня угроз NGFW продолжат эволюционировать, предлагая более усовершенствованные механизмы защиты. А интеграция с облачными сервисами, искусственным интеллектом и машинным обучением для прогнозирования и предотвращения атак в реальном времени сделает их еще более незаменимыми в защите современных корпоративных сетей.