Що таке Next Generation Firewall
У 2017 році в американських компаніях від моменту витоку даних до її виявлення проходило до 206 днів. За даними звіту Ponemon, кожна з таких атак коштувала компаніям від 6 до 8 мільйонів доларів. Значення та цінність корпоративних та персональних даних зростає з кожним роком, тому вони мають захищатись сучасними інструментами.
Нове покоління фаєрволів (Next Generation Firewalls, NGFW) з'явилося в 2011 році, але багато компаній не поспішають використовувати їх на повну. А без постійного контролю фаєрволи не здатні захищати від нових типів загроз.
Розбираємось, у чому суть захисних міжмережевих екранів нового покоління, які складності несе їх використання та як управляти ними ефективно.
Міжмережеві екрани нового покоління, або NGFW — захисне програмне забезпечення, яке включає функції традиційних фаєрволів і розширені функції: більш глибоку інспекцію трафіку і проактивну систему виявлення загроз.
NGFW допомагає компаніям захищати мережі, пристрої та програми від шкідливих атак, у тому числі від розвинених стійких загроз, вразливостей нульового дня, шкідливого ПЗ, програм-вимагачів та незахищеного доступу.
Gartner визначає важливу відмінність міжмережевих екранів нового покоління як здатність перевіряти та контролювати трафік за межами зв'язку «порт — протокол», тобто на рівні додатків всередині мережі. Також до вимог додалися запобігання та виявлення вторгнень, наявність засобів глибокої перевірки пакетів, оцінка репутації сайтів та розпізнавання контенту, форматів даних та користувачів.
Якщо фаєрвол налаштований правильно і регулярно керується, він забезпечує повну видимість мережі, використовує автоматичні правила та економить зусилля та ресурси компанії: запобігає витоку даних, злом та проактивно відображає атаки.
Для впровадження NGFW не потрібне додаткового обладнання. Але сучасні фаєрволи, на відміну попередників, недостатньо просто встановити у мережу. Їх необхідно постійно контролювати, оновлювати і підлаштовувати під обставини мережі, що змінюються. Фахівцям з інформаційної безпеки слід витрачати додатковий час на роботу з NGFW. Багато великих NGFW - єдині продукти компаній-виробників, і їх можна гнучко налаштувати під швидке виявлення загроз та адміністрування мережі.
Кількість даних усередині корпоративних мереж зростає експоненційно (1 зетабайт у 2011 році проти 20 зетабайт у 2017), загрози стають дедалі витонченішими, і ІТ-відділ може не справлятися з такими навантаженнями. До того ж розробники NGFW постійно випускають оновлення та додають нові функції. Розберемо найпопулярніші складнощі використання NGFW.
1. Одним із складних етапів при впровадженні NGFW може стати визначення мікросегментації мережі. Це створення додаткового шару захисту навколо особливо цінних підмереж, наприклад відділу досліджень або сховища фінансових даних. Фаєрвол нового покоління дозволяє контролювати рівень навантаження на такі особливо важливі ділянки та ізолювати їх у разі виявлення атаки.
Мікросегментація завжди пов'язана з визначенням стратегії безпеки та виділенням критично важливих областей мережі. У цьому можуть допомогти запрошені консультанти, які визначать ризики та пріоритети захисту даних, а також складуть карти зв'язків між програмами, робочими середовищами та областями мережі.
2. Варто звернути увагу на спосіб шифрування даних у мережі. За даними Cisco, у 2019 році 70% шкідливих програм шифруватиме свій трафік. У 2012 році ця частка становила 20%, тож шифрувати трафік тепер критично важливо.
За промовчанням фаєрволи не звертають увагу на дані, захищені протоколами SSL, TSL та SSH, і такий трафік може становити серйозну потенційну загрозу. Інспекція зашифрованого трафіку в NGFW також використовує інструментарій запобігання втраті даних (DLP) - так фаєрвол переконується, що вихідний трафік не містить цінної інформації.
3. Деякі фундаментальні помилки архітектури безпеки можуть перекочувати зі старих налаштувань міжмережевих екранів попереднього покоління та погано впливати на продуктивність NGFW. Автоматичні інструменти міграції їх не помітять, а ось інспекція зовнішніх консультантів зверне увагу та виключить, таким чином, ризик людської помилки.
4. Іноді компанії необхідно аналізувати продуктивність NGFW, щоб розуміти, наскільки він справляється з поточними обсягами даних і чи є запас для відображення атак. Незалежний центр валідації фаєрволів NSS Labs зазначає, що в деяких випадках реальна пропускна здатність екранів може бути до 80% нижчою, ніж заявлено вендорами.
5. Інтернет речей залишається найпопулярнішою точкою злому. Фаєрволи нового покоління здатні ефективно шифрувати такий трафік, але компаніям потрібно постійно стежити за політиками безпеки та оновлювати їх під загрози, що змінюються. Ми рекомендуємо проводити регулярні тести вільних потужностей NGFW, щоб убезпечити себе від нестачі ресурсів під час атак.
6. Самостійна купівля та впровадження NGFW можуть бути надто витратними – до 200 тисяч доларів на рік. Ми допоможемо встановити сучасні фаєрволи та позбавимо необхідності оновлювати, тестувати та моніторити їх. Це розвантажить ІТ-відділ компанії і позбавить необхідності турбуватися про критичні фактори захисту — про це думатимуть експерти.
Екрани нового покоління, особливо для компаній, які використовують інтернет речей, це вже не опція, а необхідний стандарт. Традиційні фаєрволи не можуть забезпечити правильне сегментування даних для ізоляції та захисту від витончених зламів.
Деякі організації тому підключають до управління безпекою консультантів, які знають підводне каміння управління NGFW, вимоги до відповідності безпеки, забезпечують швидку підтримку та реакцію на інциденти, а також надають кваліфіковані команди реагування.