В сфере кибербезопасности существуют как трендовые решения, так и базовые технологии. К последним можно смело отнести межсетевые экраны нового поколения (NGFW). Эксперты продуктово-сервисной компании ICL Services и разработчика ИБ-решений Ideco, обсудили, как изменилась роль файервола, почему его уже нельзя считать «просто шлагбаумом» и какое место в обеспечении информационной безопасности занимает NGFW.
Межсетевые экраны нового поколения
Если проводить аналогию, то NGFW можно сравнить с пропускным пунктом с многоуровневой проверкой. Это первая линия защиты, задача которой — сузить «горизонт атаки» и ограничить пространство для действий злоумышленника.
«NGFW — это инструмент для сегментации сети, то есть это ограничение доступа, аудит, просмотр, что в сети вообще происходит. И не только с точки зрения безопасности, но и для обеспечения работы сети».
Марк Коренберг, технический директор Ideco
Ключевое отличие «нового поколения» от предшественников заключается в возможностях анализа. Файерволы предыдущего поколения позволяли анализировать трафик только на уровне L3, проверяя IP-адреса и номера портов. NGFW позволяют анализировать трафик на уровне L7 и, соответственно, имеют гораздо более мощные средства для работы с сетью.
Что же движет спросом на эти решения? Есть мнение, что основной драйвер — исключительно выполнение регуляторных требований. Однако практика показывает, что значительную долю заказчиков составляют коммерческие компании, для которых сертификация не является обязательной. Они внедряют NGFW для решения собственных задач в области защиты информации, в том числе в рамках импортозамещения.
«Потребность современных заказчиков в NGFW обусловлена тем, что методы взлома десять лет назад и взлома сейчас радикально отличаются. Хакеры очень сильно прогрессируют. Если средства защиты не обновляются, не становятся “новым поколением”, рано или поздно их взломают».
Станислав Ротмистров, продакт-маркетинг менеджер Ideco
Место NGFW в общей системе информационной безопасности
NGFW является лишь одним из аспектов информационной безопасности современного предприятия. Эффективная защита строится на принципе эшелонированной обороны.
Набор средств защиты в значительной степени зависит от специфики деятельности компании, масштаба ее инфраструктуры и требований регуляторов. Для организаций, работающих с персональными данными и попадающих под действие законодательства (например, 152-ФЗ), уже определен необходимый минимум решений. Для других подход должен быть индивидуальным и основываться на анализе рисков.
Ведущий системный архитектор направления сетевых технологий ICL Services Константин Янсон выделяет топ-3 элемента, формирующих основу защиты. На первом месте — внедрение MFA, действенный способ защититься от 80% атак. На втором месте — наличие EDR, антивирусного решения на рабочих станциях. И только третьим, хотя и абсолютно необходимым, является сам NGFW. Остальные решения, которые вносят вклад в общую защиту, например, в менеджмент уязвимости и контроль трафика, также важны, но не являются столь же фундаментальными для отражения первичных угроз.
При построении защиты также необходимо учитывать уровень зрелости процессов безопасности в компании. Логичным является разделение организаций на те, что обладают собственным SOC-центром, и те, что его не имеют. При этом SOC-центр не сможет работать без NGFW, без сигналов от него.
Ideco NGFW: философия продукта и вызовы роста
Ideco развивает NGFW как продукт, ориентированный на эксплуатацию в сложных и распределенных инфраструктурах. В последних версиях линейки, включая Ideco NGFW Novum, используется собственный сетевой стек на базе DPDK и VPP, что позволяет обрабатывать трафик вне ядра операционной системы и по-другому выстраивать взаимодействие между модулями.
Архитектура продукта предполагает одновременную работу функций, включая виртуальные контексты и кластерные конфигурации, а также более жесткую привязку логических контуров к аппаратным ресурсам. Такой подход влияет не только на производительность, но и на модель диагностики, администрирования и обновления решения, что требует от эксплуатирующих команд адаптации к новым инструментам и процессам.
«В текущем варианте мы можем переварить до 200 Гбит. Но прежде всего это совсем другое архитектурное решение внутри. Благодаря собственному сетевому стеку мы, например, смогли сделать связку модуля ограничения скорости и модуля, который определяет категорию, — рассказывает Марк Коренберг. — Еще одна отличительная черта по сравнению с другими решениями — у нас появились виртуальные контексты, которые привязаны к конкретным аппаратным ресурсам, то есть ядрам процессора и памяти. По сути, они фактически являются виртуальными машинами, но на самом деле сделаны без виртуализации».
Конкурентный ландшафт
На фоне активного развития отечественного рынка информационной безопасности закономерным является вопрос о том, насколько российские решения, в частности Ideco, готовы к прямой конкуренции с ушедшими с рынка, но оставшимися ведущими западными вендорами, такими как Check Point, Palo Alto Networks и FortiGate.
Как отмечает Станислав Ротмистров, идея нового сетевого стека позаимствована у западных вендоров. Это технологический стандарт в отрасли, и логично было принять аналогичное решение. Сейчас говорить о прямой конкуренции с ведущими компаниями не совсем уместно, однако через два-три года вполне возможно будет потягаться с ними.
Решение Palo Alto, Check Point, Fortinet и так далее – это огромное количество инвестиций в течение долгого времени. Российским разработчикам в виду импортозамещения нужно доходить до этого же уровня, и развитие идет просто феноменальными темпами.
Некоторые компании уже заменили западное решение на отечественные продукты и тем самым улучшили ИБ-защиту, потому что у них были устаревшие зарубежные решения. Так, по приблизительной оценке, Ideco удалось реализовать около 80% функционала, характерного для ведущих международных компаний.
«По сравнению с западными вендорами российские NGFW прекрасно выполняют свои задачи. Отличие скорее в каком-то дополнительном функционале, который годами развивался за рубежом, с большими бюджетами, изучением потребностей рынка. Дополнительные надстройки удобны, но, как выяснилось, без них можно жить. У нас потихонечку идут эти разработки, постепенно добавляется и внедряется набор фич. Но наш рынок не такой большой. Там, где начинается взаимодействие с зарубежными рынками, появляется больше возможностей развивать продукт», — добавил Константин Янсон.
Миграция на отечественные решения
Для некоторых компаний импортозамещение связано с необходимостью соответствия регуляторным требованиям, для других – реальной необходимостью в обновлении системы информационной безопасности. Если решения устаревшие, то у них не обновляются CVE, что создает потенциальные угрозы.
«Российские решения уже достаточно функциональны для того, чтобы закрывать основные сценарии. Понятно, что есть определенные специфические моменты, которые не все вендоры в России или вообще никакие не поддерживают пока что. Но это настолько сильная специфика, что крайне редко может произойти. Около 80% рынка сегодня могут спокойно перейти на российские решения, закрыв ими свои базовые потребности», — отметил Станислав Ротмистров.
Часто возникает довольно типичная ситуация, когда устаревший Check Point, Cisco или FortiGate годами работает и все хорошо. А когда выясняется, что нужно заменить на что-то другое, это как снег на голову. В компаниях, например, не знают, что настроено на Check Point и почему, откуда взяты IP-адреса, какую задачу оно решает, почему у Иванова есть доступ, а у Сидорова нет, и так далее. Эти компетенции бывают иногда потеряны. Поэтому требование «сделайте, пожалуйста, вот ровно то же самое, чтобы продолжило работать» не всегда работает.
«Но так не получается ни с одним решением. Эти скелеты в шкафу, костыли, они прямо приводят к тому, что часть важных пользователей и приложений оказываются нерабочими. Поэтому это задача интегратора, не межсетевого экрана, не вендора, а именно интегратора с этим разобраться и придумать обходные решения», — уточнил Константин Янсон.
Для качественной миграции важно не копирование конфигурации, а восстановление исходного технического задания. Необходимо заново ответить на вопросы: «Для чего? Какие задачи решаем? Как проверить, что то, что настроено, это как раз то, что нужно?» При восстановлении вот такого ТЗ замещение происходит намного легче.
Также эксперты подчеркивают, что к процессу внедрения должны привлекаться специалисты. В демо-среде получить реального представления точно не получится. Нужно стараться пробовать в продуктивной среде. И лучше это делать не самостоятельно, а с вендором, а еще лучше с интегратором, который знает множество нюансов. Если тестирование проводить самостоятельно, это часто приводит к негативным результатам любого решения, потому что мало экспертизы.
Киберзащита в реальных инцидентах
Ни одна компания, сколь бы совершенной ни была ее защита, не обладает иммунитетом от взлома. Пример атаки на «Аэрофлот» тому подтверждение. Продемонстрировать реальные риски можно с помощью пентестов.
«Основная задача офицера информационной безопасности заключается в том, чтобы эти риски подсвечивать и далее работать с ними. Это значит закрывать основные риски, какие- то менее рискованные вещи оставлять на потом, чтобы в дальнейшем найти способ что-то сделать с ними», — рассказывает Константин Янсон.
В этом контексте часто вспоминают цитату: «За безопасность нужно платить, иначе потом придется расплачиваться». Однако, как подчеркивают эксперты, сумма, необходимая для достижения 100% безопасности, варьируется от ничего до бесконечности. Насколько дорого будет взломать систему, может показать пентест.
Стратегия строится на создании эшелонированной, многоуровневой защиты, которая делает взлом настолько сложным, дорогим и длительным, что он становится неинтересным для злоумышленников.
«Если хакеры знают, что в системе используется NGFW, то они не пойдут ломать его. Потому что это средство, предназначенное для отражения атак на границе. Они пойдут другим путем. Если другие пути окажутся тоже сложными, они, возможно, вернутся к NGFW. Поэтому со всех сторон должно быть закрыто. Но NGFW — это из таких вещей, которое must-have».
Марк Коренберг, технический директор Ideco
Наличие NGFW — это лишь «маленькая часть защиты», требующая постоянного внимания. Существенным элементом являются люди — аналитики безопасности, которые могут интерпретировать данные и реагировать на инциденты.
«Нет на свете той инфраструктуры, которую нельзя взломать. То есть взломать можно все, что угодно. Вопрос цены атаки: насколько дорого будет это взломать? У вас может быть супер идеальная защита, эшелонированная оборона, все средства на максимум выкручены, админы сидят круглосуточно, мониторят, SOC-центр самый прекрасный. А в итоге выяснится, что у вас внутри сидит “крот”, который просто в нужный момент заложит все, что необходимо заложить», — резюмирует Станислав Ротмистров.
Тренды в информационной безопасности
Прогнозируя развитие информационной безопасности на ближайшие годы, эксперты выделяют несколько ключевых трендов угроз и стратегии защиты.
«Мы можем, конечно, инструменты совершенствовать до бесконечности. Но самое главное и самое важное — это майндсет. Сейчас мы входим в то время, когда социальная инженерия, нейросети, возможность шантажа, подделки данных — она на самом высоком уровне в принципе за всю историю, и, соответственно, нужно работать с персоналом в первую очередь. Потому что без этого ваши суперинструменты защиты падут перед человеком, который будет каким-то образом аффилирован потенциальным хакером».
Станислав Ротмистров, продакт-маркетинг менеджер Ideco
Кроме того, у злоумышленников появляется возможность проводить таргетированные атаки с помощью ИИ, которые еще никто не может заметить по хэшам, по стандартным паттернам. Такие атаки могут оставаться незамеченными несколько часов, дней и недель, пока все не распространится по всей сети и появятся паттерны.
Марк Коренберг также выделяет еще несколько уязвимостей. Во-первых, «агенты» в нейросетях — ИИ-помощники, способные выполнять действия от лица пользователя. Во-вторых, шифрованный трафик. Не все приложения позволяют расшифровать свой трафик, они просто считают недоверенным. Например, к таким относится «Телеграм». Он просто не подключится, и никакими доверенными сертификатами это не решается. Количество подобных приложений постоянно растет.
«Сейчас все больше и больше коды пишутся с помощью нейросетей. И иногда нейросети пишут такой код, который человек бы никогда не написал, и добавляют, таким образом, уязвимости. Если раньше можно было с какой-то долей опираться на профессионализм разработчика, то сейчас уже нельзя, потому что формально код работает, функция исполняется, но нейросеть может сделать в нем очень изощренные уязвимости», — добавил эксперт.
Ответом на эти вызовы становится повсеместное внедрение ZTNA. «Это такой новый концепт, когда мы отказываемся от различных пулов и доверия просто по причине того, что ты находишься в какой-то сети. Мы теперь тотально не доверяем всему и аутентифицируем все, что только угодно. И еще проверяем не просто пароль, а что у тебя за компьютер, входит ли он в домен, есть ли там антивирус, как ты залогинился, сколько у тебя программ открыто и так далее. Аутентификация везде, всегда, на все, — рассказал Константин Янсон.
«Раньше это было тяжело сделать, довольно дорого технологически — шифрование, расшифровка. И, собственно, для самих разработчиков тоже не для всех это было понятно. А сейчас это уже стало доступно. Можем везде встраивать шифрование, даже в маленькие чипы уже. То есть если они где-то не встраиваются, это скорее небрежность уже, чем удешевление», — подытоживает эксперт.