DNS как часть многоуровневой системы безопасности с NGFW
Сегодня киберугрозы являются пятым по приоритетности риском, который может привести к мировому кризису. Из всех сфер экономики больше всего подвержен киберпроникновениям производственный сектор, и именно на него приходится 26% хакерских атак. Второе и третье место занимают финансовая отрасль и потребительские сервисы: 18% и 15% соответственно. Поэтому в современном мире многоуровневая система безопасности — это необходимость. Комплексные ИБ-системы позволят отечественным компаниям реализовать полноценную комплексную защиту своей конфиденциальной информации. Как новая разработка по совмещению межсетевого экрана (NGFW) с DNS-защитой поможет российскому рынку стать более безопасным — в материале IT-World.
NGFW: что драйверит рынок межсетевых экранов
Межсетевой экран (МЭ) нового поколения — это программно-аппаратный или программный комплекс, который благодаря установленным правилам контролирует сетевой трафик, разрешая или блокируя прохождение пакетов данных. Современные межсетевые экраны размещаются на периферии сети и действуют как защитный барьер. Они предотвращают нежелательные соединения, фильтруют проходящий поток киберинформации и обеспечивают аутентификацию пользователей, чтобы защитить сеть от внешних угроз.
Сам по себе рынок NGFW в России многократно вырос с 2022 года. Количество отечественных производителей межсетевых экранов нового поколения увеличилось в шестеро, с пяти более чем до 35 компаний. И это связано с несколькими причинами. Импортозамещение в сфере кибербезопасности привело к резкому повышению спроса на отечественные NGFW. Да и сам российский рынок кибербезопасности динамично развивается, что также стимулирует спрос на подобные ИБ-решения. Так, объем российской отрасли NGFW увеличится с 24 млрд рублей в 2023 году до 50 млрд рублей к 2029 году, что обеспечивает среднегодовой темп роста (CAGR) в 13%.
Сейчас NGFW предоставляют широкий спектр инструментов для обеспечения сетевой безопасности, включая не только файрволы, но и системы предотвращения вторжений, прокси-серверы, антивирусы потокового типа и другие. Базовая фильтрация выполняется на периметровом файрволе, а отфильтрованный трафик инспектирует уже NGFW. Внутри сети используют обычный брандмауэр и считают ее доверенной, а значит, применение профилей IPS не требуется.
Вендоры, вышедшие на рынок NGFW, имеют разную историю. Некоторые специализируются на их производстве, другие развивают веб-прокси, а третьи — дополняют традиционные файрволы функциями межсетевых экранов нового поколения. Несмотря на то что NGFW решает задачи сетевой безопасности от канального до прикладного уровня, компании используют их вместе с дополнительными системами защиты периметра. Комбинация межсетевых экранов позволяет организациям добиться усиленной киберзащиты.
Защита DNS-трафика — основа безопасности любого предприятия
DNS, или система доменных имен, играет ключевую роль в работе публичного Интернета, преобразуя домены в IP-адреса и обеспечивая правильную маршрутизацию трафика. Каждое устройство в сети использует DNS-протокол, однако этот трафик не получает должного контроля, позволяя злоумышленникам применять его как средство обхода современных межсетевых экранов и систем предотвращения вторжений.
Система DNS-фильтрации обеспечивает комплексную защиту от широкого спектра киберугроз, включая фишинговые сайты, ботнеты, криптоджекинг, тайпсквоттинг и программы-вымогатели. SkyDNS использует методы машинного обучения и глубокую фильтрацию трафика для выявления угроз, которые пропускают традиционные межсетевые экраны. Система интегрирована с IDS/IPS, применяет DNS over HTTPS (DoH) для защиты как внешних, так и внутренних устройств корпоративного периметра, и анализ N-грамм для обнаружения DGA-доменов, не попадающих под классическую фильтрацию по черным спискам.
Для совершенствования системы блокировки SkyDNS использует машинное обучение и имеет обширную базу категоризированных ресурсов, которая распознает 66 категорий контента и постоянно обновляется в онлайн-режиме. Система интегрирована с ICANN («Корпорация по управлению доменными именами и IP-адресами»), чтобы в реальном времени получать информацию о новых зарегистрированных доменах и выявлять угрозы прежде, чем они станут активными. Также база SkyDNS содержит исторические данные о владельцах доменных имен и их взаимосвязях, позволяя предиктивно выявлять угрозы безопасности и автоматически блокировать домены, обращающиеся к опасным инфраструктурам.
NGFW с подключением DNS-системы
NGFW позволяет ограничить доступ к внутренним ресурсам компаний по IP-адресу, но для контроля и блокировки по домену необходимо противостоять DNS-запросам. Сложность заключается в том, что DNS нужен для корректной работы многих сервисов, поэтому полная блокировка DNS невозможна. Решением является использование комбинации NGFW и DNS-фильтрации, которая способна вычислять опасные сайты, не прерывая работу сервисов, зависящих от систем доменных имен.
Например, если сеть организации заражена ботнетом, он пытается связаться с командным центром через DNS. Файрвол может закрыть некоторые порты, но стандартный порт DNS 53 должен оставаться открытым. В этом случае сервис SkyDNS или аналогичные решения для фильтрации DNS-трафика помогают блокировать вредоносные домены, обеспечивая безопасность сети компании.
Поэтому для реализации комплексной защиты отечественных организаций было реализовано совместное решение — NGFW с функцией защиты DNS-протокола. Такое нововведение позволяет создать более эффективную систему безопасности, которая защищает не только от традиционных киберугроз, но и от новых векторов атак, связанных с DNS-слоем. Новая разработка контролирует доступ к приложениям, предотвращая их несанкционированное использование благодаря более полной картине сетевого трафика, а также позволяет детально анализировать угрозы и улучшать политики безопасности внутри предприятий.
Перспективы развития технологии
В ходе расширения функционала SkyDNS рассматривает добавление новых модулей в рамках концепции SASE (Secure Access Service Edge). Планируется введение функции Secure Web Gateway (SWG) — фильтрации интернет-трафика и блокировки опасных URL и веб-сайтов с анализом HTTPS-трафика. Также огромное значение придается введению процедуры File Inspection — анализу и блокировке потенциально опасных файлов еще до их загрузки пользователями.
Ввиду популярности облачных и гибридных сред в корпоративном секторе, а также при распространении удаленного формата работы, помимо NGFW с DNS возможна реализация нового подхода Zero Trust в совмещенном сервисе. Такое решение позволит управлять доступом к приложениям и предотвращать распространение угроз внутри сети.
Для обеспечения безопасности сети и конфиденциальности данных компании огромную роль играет защита от DNS-атак. По этой причине совместное применение NGFW с DNS эффективно фильтрует и блокирует вредоносные DNS-запросы, делая киберпространство организаций более надежным и безопасным.
Опубликовано 25.11.2024