Межсетевой экран нового поколения, он же файрвол нового поколения, он же NGFW – один из центральных элементов системы информационной безопасности, которую строят организации для защиты от киберугроз. После ухода зарубежных вендоров с российского рынка разговоры об отечественном NGFW, о том, каким он должен быть, чтобы решать современные задачи кибербезопасности, стали еще более актуальными.
Автор: Сергей Федотов, инженер сетевой безопасности Центра продуктов Dozor ГК «Солар»
NGFW – пятое поколение средств безопасности
Считается, что первое поколение файрволов/брандмауэров в 1989 г. продемонстрировала компания DEC. По внутренним правилам пакеты делились на разрешенные и запрещенные. Так появилось stateless-поколение файрволов. Следующее поколение научили отслеживать сессии. Если файрвол разрешал первый пакет сессии, то все последующие пакеты внутри нее проходили без проверки. Новая сессия начиналась с проверки. Файрвол третьего поколения DEC SEAL, выпущенный в 1992 г., уже умел обрабатывать пакеты по нестандартным портам. В 1994 г. графический интерфейс другого вендора Check Point стал прародителем четвертого поколения файрволов – в нем появилась визуализация графиков и таблиц. Четвертое поколение файрволов породило концепцию совмещения функций безопасности сети в одном устройстве. Крупные международные компании в сфере кибербезопасности стали выпускать устройства UTM (Unified thread management). И, наконец, с внедрением контроля доступа пользователей к приложениям и интернет-ресурсам зародилось пятое поколение устройств сетевой безопасности – NGFW (Next Generation Firewall).
Модульность – важная веха развития на пути к NGFW
Концепция модульности позволила нарастить функциональность устройств безопасности по мере их эволюции. Начиная с четвертого поколения к основному функционалу файрвола стали добавляться такие модули, как:
- система обнаружения/предотвращения вторжения (IDS/IPS) – средство определения и предотвращения сетевых угроз на основе анализа пакетов;
- система глубокого анализа пакетов (DPI) – средство глубокого анализа пакетов;
- потоковый антивирус – средство защиты, проверяющее пакеты на наличие сигнатур вредоносного ПО;
- фильтрация по URL – фильтрация запросов по категориям интернет-ресурсов;
- SSL-инспекция – включает в себя не только расшифровку трафика, но и обработку контента антивирусом, DPI, IDS/IPS и другими модулями;
- VPN-шлюз/Удаленный доступ – средство организации защищенных каналов связи;
- предотвращение утечек информации (DLP) – средство анализа сетевого трафика и сетевой активности на наличие конфиденциальных данных;
- межсетевой экран уровня веб-приложений (WAF) – обеспечивает защиту от большинства опасных атак на уровне приложений, в том числе SQL-инъекций, DDoS-атак на уровне L7 и т.д.;
- Sandbox – песочница, нужна для выявления уязвимостей нулевого дня и сложных атак в изолированной среде.
Концепция NGFW состоит в том, что практически все модули работают параллельно. Первые устройства UTM обрабатывали трафик последовательно, поэтому при больших нагрузках задержки передачи пакетов достигали значительных величин и наблюдалась потеря пакетов. Со временем разница между UTM и NGFW стиралась, и сейчас существенной разницы между ними нет. Аналитическая компания Gartner с 2019 г. не разделяет эти классы решений, объединяя их термином Network Firewall.
Периметр безопасности и проблемы его защиты
Для защиты конфиденциальной информации и обеспечения непрерывности бизнес-процессов организовывают периметр безопасности. Пограничные устройства определяют границу между сетью предприятия и сетью оператора. Периметр безопасности постоянно расширяется. Сначала он обеспечивал безопасность группы или сегмента сети, поглотил внутренние серверы и сервисы. Сейчас он практически слился с границей внутренней сети предприятия, то есть вышел на уровень пограничного устройства.
Причем чем больше эволюционировали устройства безопасности, тем больше мощности они потребляли и тем сложнее становилась процедура настройки и их обслуживания. Сегодня мы наблюдаем две серьезные проблемы развития этих устройств. Первая: непомерная требовательность к ресурсам – процессорам, памяти, системе хранения. Вторая: невероятный объем технологий, который приходится осваивать для настройки устройств безопасности.
Bootloop
Проблема требовательности ресурсов не нова. Между аппаратным и программным обеспечением идет постоянная гонка. Выпуск более мощной платформы стимулирует разработчиков выпускать более функциональное программное обеспечение, которое, в свою очередь, формирует более жесткие требования к аппаратным ресурсам. Процесс зацикливается, но при этом он самоподдерживающийся, и в итоге проблема разрешается сама собой. Кроме того, нагрузку на вычислительную систему можно снизить, интегрировав внешние системы контентной фильтрации. Разработаны протоколы взаимодействия клиент-сервер для реализации подобной схемы, такие как ICAP, OPES, WCCP. В частности, через ICAP можно направить трафик на сервер антивируса.
Невероятный объем технологий
Вторая проблема – усложнения устройства и технологий – не может быть решена подобным образом. Развитие и обновление технологий происходят сегодня настолько быстро, что за время обучения студента технологии порой теряют свою актуальность. Да и не всякая компания может себе позволить содержать и обучать дорогостоящего сотрудника. Некоторые организации в итоге отказываются покупать дорогостоящее сложное оборудование, которое требует постоянного высококвалифицированного обслуживания, либо передают обслуживание на аутсорсинг, что чревато рисками утечек данных (защищенность небольших подрядчиков может оказаться не на высоте). Крупные вендоры не стоят на месте и вкладываются в разработку нейронных сетей и искусственного интеллекта (ИИ). Используются принципы ZTP (zero touch provisioning), что значительно облегчает начальную настройку и развертывание сложных систем.
Перспективы развития устройств безопасности периметра
Печально, но безопаснее интернет не становится. С каждым годом растет число инцидентов с утечками данных, взломами, массовыми атаками, фишинговыми сайтами. Какими же средствами нужно обладать, чтобы достойно встретить угрозы будущего? Что мы можем ожидать от развития устройств безопасности?
Развитие NGFW сейчас пойдет по пути интеграции процессов. Поскольку одного NGFW как пограничного устройства будет недостаточно для парирования всех угроз, он станет частью общей системы, которая будет контролировать периметр безопасности в целом. NGFW как класс устройств или систем станет пограничным устройством, которое включает в себя функции файрвола, роутера и других сервисов, которые можно и нужно разместить на пограничном устройстве. Функции обработки и анализа трафика, возможно, будут вынесены за рамки одного устройства посредством того же ICAP- или OPES-протоколов. Общая система безопасности будет включать в себя операционный центр SOC, который будет анализировать поступающую информацию и управлять всей структурой контура безопасности. Возможен вынос SOC за периметр безопасности организации с помощью VPN-канала. Смысл в том, что SOC может использовать автоматизацию на основе технологии ИИ и Big Data для выявления и решения проблем. В этом случае данные стекаются в единый облачный операционный центр, где обрабатываются и анализируются. Подобную структуру мы можем увидеть у западных производителей, например, Juniper Apstra. Такая система позволяет значительно упростить и сократить время развертывания сетевой инфраструктуры.
Источниками информации здесь могут быть:
- пограничные устройства, где зафиксированы события нарушения периметра, например в виде DDoS-атак;
- внутренние коннекторы, где фиксируются инциденты неудачной авторизации и компрометации данных пользователей, нарушения правил безопасности пользователем в использовании стороннего программного обеспечения, нестандартный характер трафика и факты сканирования внутренней сети и т. д.
Чтобы собирать подобную информацию, нужно построить контролируемую среду на всех сетевых устройствах, клиентских устройствах и серверных системах в виде программных агентов, коллекторов трафика. Учитывая огромные объемы информации, нам потребуется система анализа и реагирования на угрозы в ручном, полуавтоматическом и автоматическом режиме на основе искусственного интеллекта. Набор технологий для комплексного анализа и реагирования сегодня представлен такими системами, как SIEM, SOAR и XDR. При этом для полноценной работы последней необходима связка с NGFW.
- Реакция на некоторые инциденты должна быть автоматической и самой быстрой, например открытие blackhole на DDoS-атаку, деактивация учетной записи скомпрометированного пользователя, предотвращение утечки данных.
- Полуавтоматический режим предполагает выбор и принятие решения оператором по заранее разработанным шаблонам реакций на инцидент.
- Ручной режим подразумевает принятие во внимание, повышенное наблюдение, сопровождение инцидента.
Сложность такого комплекса безопасности возрастет многократно, поэтому инсталляцию системы и ее обслуживание нужно максимально упростить за счет функциональных возможностей «из коробки». Система должна разворачиваться практически самостоятельно, анализировать и интуитивно подключать модули в виде агентов, сборщиков и анализаторов трафика, пограничных устройств и т. д., а также она должна быть самообучаема.
NGFW в России
Из-за санкционной политики западных стран российский рынок столкнулся с необходимостью быстрого импортозамещения ИБ-решений, что, в свою очередь, открывает перед нами определенные возможности. Сегодня перед российскими разработчиками стоит вызов пройти этап разработки NGFW в сжатые сроки, в то время как западные вендоры потратили на него более 10 лет. Прошло не так много времени, но уже сейчас видно, что есть ряд компаний, которые работают в этом направлении.
Совокупность разработок и их интеграция в единый комплекс безопасности в ближайшем будущем позволят определить лидера в российском сегменте. Для бизнеса решающую роль будет играть скорость в режиме межсетевого экрана, отказоустойчивость, масштабируемость и удобство использования. Несмотря на то, что задача разработки решения NGFW отнюдь нетривиальна, мы уже видим яркие отечественные релизы, и эта гонка только начинается.