В рубрику "Межсетевые экраны" | К списку рубрик | К списку авторов | К списку публикаций
Интерес к межсетевым экранам с каждым годом возрастает не только у профессионалов в области ИБ, но и у обычных пользователей сети Интернет. Ассортимент МЭ на рынке отнюдь не способствует быстрому выбору. На что же нужно в первую очередь обращать внимание и каких “подводных камней" стоит опасаться, редакция журнала “Информационная безопасность/Information Security" узнала у ведущих экспертов отрасли, задав следующие вопросы:
1. Не ко всему в окружающем нас мире применим метод дихотомии. Более того, если подходить с позиции ключевых понятий конфиденциальности, целостности и доступности, может показаться, что вопрос вовсе теряет смысл. Дьявол, как водится, в деталях, среди которых наличие специальных требований и задач, решать которые призван конкретный МЭ. Ничего не мешает в отдельных случаях скомпенсировать надежность отдельно взятого МЭ иными средствами, а может быть, и пренебречь ею в пользу функциональности. Разумеется, в каждом конкретном случае подходы будут различными, и опираться они должны как на общие (использование МЭ на периметре или внутри него), так и специальные требования. Иными словами, в рамках проектирования одного объекта могут выбираться и более надежные, и более функциональные МЭ одновременно.
2. МЭ, безусловно, может являться мишенью, порой даже чаще других элементов, ввиду специфики решаемых им задач. Методы защиты напрямую зависят от угроз, а их применимость определяется конкретными условиями. Например, в случае защиты от DDoS одним из методов может быть использование внешних сервисов фильтрации. Поставщиками таких сервисов могут быть как операторы услуг связи, обеспечивающие "последнюю милю" и имеющие соответствующие ресурсы, так и различные сервис-провайдеры (Лаборатория Касперского, Akamai и др.).
3. Правильнее было бы ставить вопрос: "Что именно в управлении МЭ можно отдавать на обслуживание?". Спектр здесь очень широк: от подсистем электропитания и прочего обеспечения до высокоуровневого управления и глубокого анализа трафика. Вторая половина вопроса охватывает крайне важные организационные моменты, такие как способы и средства стороннего управления (осуществляется ли оно на территории заказчика и под его контролем или же удаленно и бесконтрольно, и прочие подобные моменты). Поэтому перед тем как ставить вопрос аутсорсинга на рассмотрение, целесообразно, кроме прямых финансовых аспектов, внимательно подойти к нему с учетом обозначенных позиций.
4. Сам термин "уязвимость нулевого дня" в какой-то степени содержит ответ на вопрос. Под этим термином обычно понимаются неустраненные уязвимости, в т.ч. новые уязвимости, механизмы защиты от которых еще не разработаны. В определенном объеме от таких уязвимостей можно защищаться путем выявления и блокирования активности по некоторым поведенческим параметрам, с использованием репутационных оценок внешних ресурсов и другими подобными методами. Такая задача в определенном объеме решаема средствами современных NGFW, что подтверждается вполне конкретной статистикой пилотных и промышленных внедрений. "В определенном объеме" – потому что применяемые методы не охватывают и не могут охватывать весь спектр уязвимостей, а также потому что новые уязвимости могут и не иметь известных и технически контролируемых в настоящий момент демаскирующих признаков.
5. Говорить о том, что непосредственно в связи с импортозамещением резко изменились требования к закупкам МЭ, не совсем верно. Прежде всего, следует внимательно отделить зерна от плевел.
Требования непосредственно к закупкам регулируются действующим законодательством (№ 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц", № 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" и др.).
Требования непосредственно к МЭ регулируются соответствующими руководящими документами ФСБ и ФСТЭК.
А вот вопросы применения в конкретных условиях тех или иных МЭ регулируются в соответствующей области как действующим законодательством (например, № 152-ФЗ "О персональных данных"), приказами органов исполнительной власти (например, приказ Минкомсвязи от 03.05.2015 № 120), так и отраслевыми и внутренними нормативными документами организаций.
1. Надежность. Вышедший из строя МСЭ прервет трафик и, возможно, работу бизнеса, что более негативно повлияет на него, чем отсутствие какого-то функционала. Существуют одновременно надежные и функциональные МСЭ, поэтому у заказчиков такой дилеммы обычно не бывает.
2. Да. Сам МСЭ всегда является мишенью для атак. Существует понятие Bastion Host – это означает, что разработчик продукта и тот, кто его эксплуатирует, должны выполнить определенные требования и процедуры по защите самого межсетевого экрана, его интерфейсов и особенно интерфейса управления.
3. Это совершенно нормальный метод для работы с любым устройством безопасности. Дело в том, что никакой человек не может долго читать журналы, и поэтому часть функционала по чтению журналов однозначно надо отдавать на аутсорсинг в компании, где существуют специальные процессы, позволяющие своевременно диагностировать атаки и оповестить заказчика. Часть функционала защитного устройства, а именно настройку правил
МСЭ, создание объектов, добавление пользователей, я бы не отдал – это создает дополнительные риски, что негативно может повлиять в случае инцидентов или стать причиной инцидента.
4. Да, современные межсетевые экраны нового поколения содержат функционал анализа вредоносного кода по поведению, поведенческий анализ соединений, подключены к облаку знаний для динамического управления черными списками адресов, с которых происходят атаки хакеров и удаленное управление бот-сетями, что позволяет защищаться от неизвестных атак на корпоративную сеть.
5. Никак не изменились. Связано это с отсутствием альтернативы импортным межсетевым экранам. По словам заказчиков, лучший отечественный межсетевой экран отстает по своим возможностям от импортных аналогов на 5–10 лет. Замена на такие МСЭ приведет к снижению безопасности в сети и повышению операционных расходов.
Отдельной темой идет пропаганда замены на продукты с открытым кодом, однако это означает, что продукт разрабатывался в основном за границей, вдобавок неизвестными людьми, и, соответственно, вообще никто не несет ответственности за появление уязвимостей и даже закладок в таком коде. А уязвимости там находят похлеще, чем в ПО с закрытым кодом, где у вендоров есть процедуры проверки кода на безопасность. Наивно полагать, что можно выявить все уязвимости в программном продукте, если он доступен всем. Уязвимости там ищут только хакеры и спецслужбы. Им очень удобно это делать – код-то предоставлен.
1. Я предлагаю отойти от постановки вопроса в стиле "или-или". Функциональность МЭ – набор механизмов, с помощью которых осуществляется защита от несанкционированного доступа, или, говоря другими словами, фильтрация на L2–L7 уровнях модели ISO/OSI. Термин "надежность" обычно относят к "железной" составляющей: мы смотрим на заявленные производителями цифры MTTR и MTBF), а также на длительность гарантии и скорость отклика технической поддержки. По этой причине рекомендую не выбирать между функциональностью и надежностью, а обращать внимание на межсетевые экраны нового поколения с длительной (не менее трех лет) гарантией, которые обеспечат и то, и другое.
2. Да, безусловно. Атаки на МЭ можно разделить на несколько типов:
3. Из-за ряда национальных особенностей российский бизнес всегда весьма осторожно подходит к передаче какой-либо ценной информации и критичных бизнес-процессов вовне, особенно если дело касается безопасности. Пока не будет законов, четко поясняющих механизмы передачи прав на управление ИБ-инфраструктурой и ответственность за нарушение взятых обязательств, лично я отдавать управление МЭ на аутсорсинг не стал бы. Думаю, со мной согласится большинство российских ИБ-специалистов.
4. Нет. В настоящее время большинство NGFW используют антивирусы и системы обнаружения вторжений, использующие сигнатурный анализ, т.е. анализ постфактум. Для проактивной защиты необходимо присутствие других технологий, в том числе песочница, эмуляция кода, эвристический анализ, которые есть далеко не у всех производителей. Но даже используя все перечисленные технологии, нельзя на 100% гарантировать, что атака не пройдет успешно. Можно говорить только о снижении вероятности успешной атаки.
5. После провозглашения тренда на импортозамещение представители многих организаций, особенно государственных, стали уделять внимание расположению производственных мощностей, стране происхождения аппаратной платформы и комплектующих, гражданству собственников предприятия, а также наличию сертификатов ФСТЭК и ФСБ. Так как мы являемся российским производителем, мы получили существенные преимущества за счет использования собственной производственной базы и центра разработок, а также благодаря наличию сертификатов высокого класса.
2. Несомненно, любое средство защиты информации может стать объектом атаки, и файрвол не является исключением. История знает примеры, когда злоумышленники пытались эксплуатировать уязвимости в экранах.
Чтобы избежать этого, прежде всего для файрвола следует выбирать доверенное ПО от известных производителей, которые обладают внушительным опытом работы в индустрии ИБ и внимательно следят за качеством и безопасностью своих продуктов.
Для того чтобы защититься от атаки, в ходе которой может эксплуатироваться уязвимость в МЭ, необходимо осуществлять регулярную и оперативную установку обновлений, которые выпускает производитель.
Ну и наиболее важный метод, который позволит обезопасить не только файрвол, но и защищаемую им сеть, – интегрированное антивирусное решение. МЭ с интегрированным решением для защиты от вредоносного ПО развертывается в точке входа интернет-трафика в корпоративную сеть. Проще говоря, на входе у файрвола канал от вашего интернет-провайдера, а на выходе – каналы, ведущие на корпоративные серверы и рабочие станции локальной сети. В результате любой пакет, поступивший на IP-адрес компании из Интернета, сначала попадает на МЭ, где его проверяет защитное решение. Сегодня технологии защиты от вредоносного ПО – это ключевой компонент защиты почтовых и интернет-шлюзов, а также программно-аппаратных комплексов UTM (Unified Threat Management).
4. Если уязвимость нулевого дня содержится в стороннем ПО (не в файрволе), то при определенных характеристиках этой уязвимости средство межсетевого экранирования может защитить от ее эксплуатации. Например, при помощи файрвола можно запретить отправку каких-либо пакетов, эксплуатирующих уязвимость нулевого дня в стороннем ПО.
Однако если уязвимость нулевого дня содержится в самом МЭ, то в данном случае защищаться необходимо дополнительными технологиями защиты (например, встроенными в ОС), которые не позволят осуществить эксплуатацию уязвимости.
5. На волне импортозамещения увеличился спрос на все средства защиты информации отечественного производства. При этом в области ИБ много российских компаний-разработчиков, давно и успешно конкурирующих с иностранными решениями не только на родном рынке, но и далеко за его пределами.
1. Здесь важно как то, так и другое – требования должны быть как к первому, так и ко второму, одно без другого быть не должно. Потому что межсетевой экран должен быть надежным и защищать периметр инфраструктуры. В этом контексте можно провести аналогию с забором. Что толку от надежного забора на бетонных основательных столбах, если его высота полметра и через него можно запросто перешагнуть? А может быть наоборот – двухметровый сплошной забор упадет от легкого дуновения ветра из-за непрочных хиленьких столбиков.
2. Достаточно часто именно межсетевые экраны как первые рубежи защиты периметра сети в случае DDoS-атак становятся мишенью. Они попросту не выдерживают ее и "захлебываются". У межсетевого экрана есть своя функциональность (у одних одна, у других другая), и это отнюдь не защита от DDoS-атак. Решением проблемы является использование специализированных средств защиты на уровне провайдера или специализированных решений в связке с межсетевым экраном (например, Arbor, Radware, Касперский и т.п.).
3. Некоторые заказчики отдают на аутсорсинг поддержку работоспособности МЭ, а также их настройку с точки зрения фильтрации трафика, политик безопасности и т.д. (всех настроек сетевого уровня). Практика подтверждает эффективность данного подхода. Например, администратору необходимо открыть доступ как можно быстрее, что он и делает, несмотря на то, что такой доступ мог быть уже открыт ранее или вовсе противоречит корпоративным политикам, архитектуре и пр. Получается, что проблема состоит в недоработанных процессах и роли человеческого фактора. Взяв на аутсорсинг управление МЭ, компания-интегратор несет ответственность за весь процесс, поэтому и нужно, чтобы ею активно использовались механизмы дополнительного контроля, тогда как у самого заказчика до этого, как правило, не доходят руки.
4. Тема защиты от атак и уязвимостей нулевого дня в тренде уже второй год. По моему мнению, универсальной таблетки от всех болезней нет, равно как и нет универсального решения, гарантированно защищающего от атак нулевого дня. И когда производители говорят о том, что они обеспечивают защиту от атак нулевого дня при помощи своего NGFW, они все-таки несколько лукавят. Да, безусловно, файрволы нового поколения (NGFW) могут предложить какую-то функциональность по защите от таких угроз. Но даже они не имеют функционала так называемой "песочницы". Конечно, ряд производителей (CheckPoint, PaloAlto) предлагают такие дополнения к файрволам. Но это не столько расширение функционала самого файрвола, сколько самостоятельное специализированное решение по защите от атак нулевого дня. Хотя есть возможность получить этот функционал в облачном сервисе, но и в этом случае говорить о защите силами NGFW не вполне верно.
5. Отечественные производители предлагали и предлагают рынку файрволы классического типа. Да, это не NGFW, но тем не менее у них доступен функционал VPN с использованием ГОСТ`ового шифрования. И если необходимо использовать средство с сертификатом ФСТЭК/ФСБ, то они активно внедряются. С другой стороны, мировые лидеры, предлагающие решения промышленного класса, не менее внимательно относятся к сертификации своих продуктов по требованиям российского законодательства. Check Point, например, даже выпустил заявление о том, что компания не присоединяется к санкциям и планирует выполнять все свои обязательства по поставкам и технической поддержке в полном объеме. Эта позиция подтверждается на практике числом заключенных за последнее время контрактов. Совместные проекты с отечественными производителями также имеют место быть. Также имеет смысл отметить, что и отечественные производители "Инфотекс", "Код безопасности", "С-Терра" и др. активно развивают свои продукты, дополняя их новым и нужным функционалом.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2015