Добрый день, друзья! Продолжаем серию статей, посвященных выбору подходящего NGFW. Если вы еще не читали первую часть, рекомендуем ознакомиться сначала с ней.
Итак, продолжим обсуждать критерии сравнения. Определите, какие из них для вас важны, а какие можно отбросить за их неактуальностью. По каждому критерию я стараюсь давать пояснения и предостережения из личного опыта.
11. Интеграция с MS AD и другими службами
Давно прошли времена политик по IP. Все уважающие себя решения умеют дружить с MS AD и применять политики прохождения трафика для пользователей и групп. Но вот интегрируются все по-разному. Кто-то просит поставить агента на контролеры домена, кто-то обходится без агентов. Кто-то захочет агента для десктопа, кто-то попросит ввести логин-пароль в браузере, кто-то всего по чуть-чуть и в разных конфигурациях.
Совет: пилот и решение кейсов на местах. Универсальных решений нет. Свои проблемы и workaround есть у каждого решения NGFW.
- Какая схема работы (агенты, права доступа к AD)?
- С чем интегрируется AD/Radius/Tacacs+ и другие? Может у вас не только AD.
- Какие методы интеграции используются? Как реализованы? (агенты/права доступа, контроллеры домена, web портал/терминальные серверы)
12. IPS/IDS
Это мое любимое. Сколько случаев, когда купили IPS, поставили, три галочки настроили и живем с полным ощущением безопасности и защищенности — чушь, бред, никуда не годится. IPS требует внимательной, вдумчивой настройки и обновлений каждый день, а то и чаще.
Первый критерий при выборе – удобство интерфейса. Попросите показать интерфейс для настройки. Вам придется разбираться с сотнями и тысячами сигнатур. Если вы в них не разберетесь — толку от IPS не будет. Если вам будет сложно отслеживать новые сигнатуры и непонятно, от чего они защищают, то эффективность такой защиты будет минимальна.
Вам придется разбираться с сигнатурами и их настройкой (если вы не хотите разбирать сотни логов, когда IPS заблокировал атаку на apache, летящую в сторону вашего IIS сервера). А такое сплошь и рядом. Никто не знает вашу инфраструктуру лучше вас. Про DETECT скажу лишь, что его должно быть минимальное количество. Во-первых, это сбережет ресурсы шлюза, во-вторых, сохранит вашу сеть в безопасности.
Молотить трафик по всем сигнатурам, писать лог о детектировании и в итоге пропускать атаку до сервера – самый глупый из возможных сценариев внедрения. Будьте умнее и регулярно проверяйте защищенность периметра.
- Какой объем базы сигнатур?
- Какая периодичность обновления? Скорость обновления и реакции на инциденты ИБ вендором. Есть примеры, когда на самые критичные уязвимости вендор пишет сигнатуры месяцами и годами…
- Удобство администрирования. Как настраиваются правила фильтрации IPS?
- Наглядность детектирования и блокировки. Есть ли система уведомлений и отчетности?
13. Определение и фильтрация приложений
С приложениями вот какая штука: есть они у почти всех уважаемых игроков рынка NGFW. Вопрос скорее в том, сколько приложений нужно вам лично (это раз). Два – насколько качественно шлюз детектирует эти приложения и быстро их блокирует.
Методы обхода в работе? Те же вирусы и боты могут прикидываться скайпом, например. Как предлагаемое решение отработает такой сценарий? Опять же, лучшее сравнение – это пилотный проект. Ощутите ли вы всю подноготную сразу или нет, зависит от решения.
- Какое количество приложений в базе? Скорость увеличения базы?
- Какова детализация Рунета?
- Какая схема лицензирования web-фильтра и приложений?
- Есть ли блокировка скачивания по типам файлов? Какие форматы поддерживаются и распознаются?
- Базы собственные или партнерские по подписке?
14. Блокирование ботнет-трафика
Все чаще вирусы превращаются в ботов. В своей работе в отчетах после аудита сети мы уже давно не сталкивались с тем, чтобы там не было зарегистрировано бот-активности. Это означает, что в сети куча уже зараженных ПК, но про это никто не знает. Это и шифровальщики, и ПО для слежки, и банковские трояны, и куча всего еще…
К чему это приводит? К печали в глазах админов и инженеров ИБ, руководства и владельцев бизнеса.
— Как бороться и что делать, чтобы не приуныть?
— Детектировать и блокировать бот трафик в сети на всех уровнях и сразу лечить зараженные машины. Проведите пилот и проверьте все вышесказанное.
- Какие используются методы детектирования и блокировки бот-зараженных машин?
- Какая схема лицензирования защиты от ботов?
- Производительность при включении инспекции на бот-трафик?
15. Обнаружение утечек информации
DLP. Некоторые NGFW решения предлагают данный функционал. Штука полезная, хотя часто от полноценного решения DLP отстает в плане функционала и возможностей. Но как дополнительная система или модуль с интеграцией к основному решению DLP может оказаться очень полезным.
Мысль простая: если у вас уже есть DLP - уточните, можно ли интегрировать NGFW с вашей DLP системой, если DLP нет, тогда лучше возьмите NGFW с DLP функционалом (пригодится).
- Какие протоколы анализирует?
- Какие методы детектирования конфиденциальных данных используются?
- Как система определяет шифрования данных?
16. Удалённый доступ (VPN/SSL)
Задайте себе и вендору вопросы о возможных вариантах подключения удалённых пользователей. Какие технологи есть, какие сценарии внедрения, нюансы в работе? Попросите демонстрацию, посмотрите на все это глазами пользователя. Будет ли им удобно пользоваться выбранным решением. А еще лучше привлеките фокус-группу к тестированию на этапе пилотного проекта.
- SSL VPN
- GOST SSL VPN
- IPSec VPN
- Поддержка 2-х факторной аутентификации (SMS, Сертификат, Токен)
17. Поддержка мобильных устройств
Если вы хотите обеспечить доступ мобильных сотрудников, решите, с каких устройств они будут подключаться. Не все ОС могут быть в списке поддерживаемых, не на все девайсы могут быть приложения.
- iOS
- Android
- Windows
- Другие
18. ГОСТ VPN
Если вам нужен ГОСТ VPN, то скорее всего вы купите российское решение. Но есть импортные поставщики сертифицированного ГОСТ VPN.
Основная проблема с ГОСТ шифрованием – производительность. А еще есть проблемы с централизованным управлением, отчетностью и траблшутом таких решений, генерацией ключей не реже 1 раз в 6 месяцев и много чего еще.
Только пилот покажет всю красоту и многогранность данной задачи. Тестируйте. И попросите в тест, как минимум, один кластер в центр и два удаленных устройства для офисов. Точку-точку вам соберут за 5 минут, нет сомнений. А вот схему посложнее будет уже трудно показать красиво.
У некоторых производителей можно докупить сертификаты и образы ОС и сделать сертифицированным решение, купленное много лет назад. Часто это удобно.
- Удобство администрирования. Централизованное или распределенное?
- Производительность гост-шифрования? Какая максимальная пропускная способность канала гост VPN?
- Стоимость сертифицированной версии ПО? Как приобретается?
- Какие возможны сценарии внедрения и закупки?
19. Защита от спама и проверка SMTP трафика
Почта – номер 1 среди каналов заражения и передачи зловредов. Но выключить ее совсем никто не может. Значит, надо защищаться и разбираться с тем, что и от кого к нам летит в почтовый сервер.
Объективную картину тут покажет только тестирование. У многих NGFW решений защита почты вынесена в отдельный продукт, а кто-то совмещает все на одном устройстве. Функционал тоже отличается. Так что только тест даст вам полную картину.
- Какие механизмы проверки от СПАМ используются?
- Своя база или интеграция с партнерами?
- Есть ли функция SMTP Relay\MTA?
- Производится ли проверка вложений и архивов?
20. Песочница — блокировка 0-day атак
Почти все современные NGFW решения обзавелись песочницами. Кто-то их купил, кто-то разработал сам. На самом деле, тут идет самая интересная борьба. Не буду грузить деталями, тест и еще раз тест. На пальцах объяснить CPU-level детектирование ROP будет сложно, а многим это даже и не нужно. Так что берем шлюз с песочницей от разных производителей и тестируем.
Сравнив результаты, вы быстро все поймете сами, без умных слов и маркетинговых названий технологий. Помните: хакеры — умные ребята, как обходить песочницы они давно придумали…
- Используется ли Облако как сервис?
- Возможно ли использование аппаратных модулей?
- Какие методы эмуляции и детектирования используются?
- Как осуществляется защита от детектирования и обхода песочницы?
Автор: Михаил Зимин. Генеральный директор TS Solution
Если вам понравился чек-лист — ставьте 👍🏻 каналу
Задавайте вопросы в комментариях или пишите на почту sales@tssolution.ru
#it #системное администрирование #серверное администрирование #сетевые технологии #информационная безопасность