Технологии контроля трафика становятся все более востребованными
Изобилие облачных сервисов и рост обмена трафиком между внутренними сетями компаний и открытым Интернетом создает новый ландшафт угроз. Для обеспечения безопасности на всех уровнях, от протоколов передачи данных до сервисов и приложений, уже не хватает обычных межсетевых экранов, поэтому сегодня вопрос перехода на межсетевые экраны нового поколения волнует большинство компаний. И решить его можно разными способами.
Переход на Firewall нового поколения чаще всего начинается с SWG
По оценке компании IDC, опубликованной в июне 2018 года, объем мирового рынка средств информационной безопасности достиг $3,3 млрд, показав рост 14,3%. При этом максимальный интерес по мнению аналитиков приходится на комплексные системы противодействия угрозам, так называемые UTM (Unified Threat Management), на которые по итогам 2017 года потрачено $2,1 млрд, или свыше 50% всех расходов на ИБ в мире, при росте на 16,1%. Однако, как считают аналитики, одним из наиболее динамичных направлений остаются межсетевые экраны.
Почему именно защита на уровне периметра сети оказывается столь востребованной? Причина – динамичное развитие угроз, связанных с утечками данных, заражением из Интернета и взломом самых разных элементов сети. Все это заставляет компании постоянно модернизировать систему межсетевых экранов. И хотя сама по себе технология Firewall по праву считается одной из самых известных на рынке и применяется повсеместно, через периметр постоянно пытаются просочиться конфиденциальные данные – по сведениям аналитического центра Zecurion Analytics, Россия регулярно входит в число стран-лидеров по утечкам данных, а страдают от них самые разные компании, от государственных учреждений до предприятий розничной торговли и банков. Например, по информации ЦБ РФ, в 2018 году количество атак на российские кредитные организации удвоилось по сравнению с 2017 годом.
С другой стороны, большую опасность для компаний несут фишинговые атаки. Как сообщили эксперты-криминалисты на CyberCrimeCon, проходившей в октябре 2018 года в Москве, за прошедший год количество ежедневных фишинговых атак в нашей стране увеличилось более чем на 30%, а урон превысил 250 млн рублей, показав годовой рост на 6%. Атаки становятся все более изощренными, и чтобы им противостоять, компаниям нужны более функциональные системы «пограничного контроля».
UTM, NGFW и распределенная защита
Для того чтобы противодействовать различным угрозам, связанным с нарушением периметра сети, разработчики предлагают сегодня самые разные решения, а аналитики выделяют комплексные концепции защиты. По версии Gartner, одними из наиболее перспективных являются интегрированные системы UTM. Они объединяют сразу несколько уровней защиты, включая анализ угроз и интеграцию систем безопасности. Впрочем, не случайно на UTM приходится больше половины затрат на ИБ в мире – само определение является очень общим, и в числе поставщиков таких решений оказываются самые разные предприятия, от производителей оборудования до специализированных ИБ-компаний.
Однако есть у концепции UTM и ограничения, которые приводят к независимому направлению по развитию межсетевых экранов нового поколения, или Next Generation Firewall – NGFW. Фактически UTM подразумевает размещение на одном «железе» межсетевого экрана, VPN, IPS, антивируса, систем веб-фильтрации, защиты от спама, шифрования SSL и SSH. В дополнение ко всему архитектура UTM изначально предусматривала использование жесткого диска для передачи пакетов и хранения информации, что сильно ограничивает потенциальную скорость работы системы.
Системы NGFW, в свою очередь, позволяют достичь большей скорости, благодаря отказу от дисков и использованию специализированных чипов FPGA для запуска различных движков в рамках аппаратных решений или установке программных компонентов на серверы с достаточной производительностью и пропускной способностью. А в случае распределенного подхода и установки интегрированных между собой систем защиты можно и вовсе забыть о проблемах пропускной способности. Более того, вовсе не обязательно одномоментно внедрять весь спектр функций для защиты корпоративной сети сразу и на одном устройстве. Например, для контроля трафика сегодня все чаще применяются защищенные шлюзы SWG (Secure Web Gateway), которые позволяют не допустить посещения вредоносных сайтов и не пропустить в сеть вредоносный трафик. При интеграции с системами DLP они также помогают обнаружить попытки передачи конфиденциальных данных за пределы корпоративного периметра и пресечь утечку «на лету».
Как работают SWG
Архитектура современных SWG подразумевает наличие постоянно пополняемых баз данных, содержащих адреса запрещенных URL, на которые сотрудники компании могут попадать по ошибке в результате фишиговой атаки или вследствие заражения их ПК вирусом. Например, в Zecurion SWG числится свыше 500 млн адресов, а для управления политиками доступа предусмотрено более 100 категорий сайтов. Таким образом, SWG позволяют не только не допустить атаки вредоносного ПО на корпоративную сеть, но и запретить сотрудникам пользоваться развлекательными сайтами в рабочее время.
Мониторинг фраз и запросов предполагает обнаружение подозрительной активности на рабочих станциях пользователей, а архив с этими данными часто становится полезным активом для последующего анализа и расследования инцидентов. Современные инструменты разрешают полностью адаптировать системы защиты под потребности разных групп пользователей в организации. То, что должно быть запрещено для одной группы, может свободно использоваться другой группой сотрудников. И если инженеру явно нечего делать на Facebook в рабочее время, обращение к социальной сети может оказаться необходимым в работе службы технической поддержки или специалистов по маркетингу.
Большинство SWG содержат полнофункциональный Proxy-сервер, который позволяет не только контролировать доступ, но и оптимизировать трафик. Проксированные страницы и веб-ресурсы остаются в локальном доступе и в гарантированно безопасном формате после проверки средствами антивируса. Так достигается разгрузка внешнего интернет-канала и приоритизация запросов пользователей к различным ресурсам.
Однако полезные возможности SWG идут дальше, и помимо активной защиты и оптимизации передачи данных подобные решения делают возможным расширенный анализ и автоматизацию отчетности по использованию Интернета в компании. Обнаружение подозрительных действий помогает на ранних стадиях предотвратить инциденты с заражениями или утечками, а подключение к SWG средств визуализации – проводить оперативный анализ ситуации с трафиком и принимать необходимые меры. Наконец, при расследовании инцидентов информация, сохраненная в SWG, дает представление об использовании Интернета каждым сотрудником компании или группой пользователей. Например, только за прошлый год специалисты Zecurion выявили целый ряд инцидентов сразу после внедрения решения: в одной компании модернизация firewall позволила обнаружить небольшую майнинговую ферму, а в другой – выявить попытки обхода запретительных политик на доступ к развлекательным ресурсам при помощи внешних proxy-сервисов.
Современный Firewall как часть комплексной системы безопасности
Системная работа с угрозами и оценка рисков информационной безопасности не только являются лучшими практиками в отрасли, но и поддерживаются на законодательном уровне. Например, создание комплексных систем защиты предусмотрено требованиями ЦБ РФ и международными стандартами PCI DSS, а также четко сформулировано в 187-ФЗ «О защите критической инфраструктуры Российской Федерации».
Тем не менее сразу создать полностью готовую инфраструктуру бывает очень затруднительно, и компании планируют постепенное внедрение технологий безопасности, в зависимости от своих приоритетов и актуальных угроз. Согласно проведенному опросу среди пользователей Zecurion DLP в 2018 году, более 80% компаний, применяющих защиту от утечек, либо уже используют защищенный шлюз, либо планируют внедрить SWG в течение года. Впрочем, наличие уже внедренной системы DLP сразу увеличивает ценность SWG при интеграции решений, так как контроль трафика на выходе из сети позволяет автоматически обнаруживать передачу уже заданных в DLP категорий данных. Поддержка функций предотвращения вторжения IDS/IPS позволяет повысить уровень защищенности периметра сети и сделать шаг по направлению к Firewall следующего поколения.
Учитывая комплексное развитие сетей передачи данных, на этапе внедрения межсетевых экранов нового поколения необходимо заранее позаботиться о возможностях масштабирования решений и производительности, а также о возможности интеграции с другими решениями и стоимости поддержки системы. Главное, чтобы новые веяния в сфере безопасности не стали сдерживающим фактором для развития сетей и не потребовали замены при последующей модернизации, усложнения сетей и роста объемов трафика.
Автор: Алексей Бурунов, специалист группы технической экспертизы, Zecurion
Опубликовано 12.11.2018