Критерии выбора межсетевого экрана обычно делятся на три основные области: функции безопасности, выполняемые операции и производительность. Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения выполняемых операций самый большой вопрос состоит в том, «где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?» В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:

1. Идентификация и контроль приложений по любому порту
2. Идентификация и контроль приложений дляпопыток обхода защиты
3. Расшифрование исходящего SSL и управляющего SSH трафика
4. Контроль функций приложений и их подприложений
5. Управление неизвестным трафиком
6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
9. Обеспечение той же пропускной способности и производительности при полностью включенной системе контроля приложений
10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

1. Ваш новый межсетевой экран должен обеспечивать постоянную идентификацию и управление приложениями на всех портах.

Реальный пример. Разработчики приложений больше не следуют методологии разработки приложений, основанных на использовании стандартных портов и протоколов. Все большее число приложений может работать через нестандартные порты или переключаться между портами (например, приложения мгновенного обмена сообщениями, пирингового обмена файлами или VoIP: Skype, Bittorent, H.248, Lync, Aim и т.д.). Кроме того, все большее число пользователей умеет направлять работу приложений через нестандартные порты (например, RDP, SSH). Чтобы внедрить политики межсетевого экрана для конкретных приложений, которые все чаще работают без привязки к портам, ваш новый межсетевой экран должен быть готов к тому, что каждое приложение может работать с любым портом. Концепция поддержки любого приложения, работающего на любом порте, является одним из фундаментальных изменений в работе приложений, которое заставляет переходить от межсетевых экранов, контролирующих трафик через определенные порты, к межсетевым экранам нового поколения. Принцип поддержки любого приложения, работающего по любому порту, еще раз показывает, что негативная модель управления (разрешение по умолчанию) не позволяет решить проблему. Если приложение может переключаться на любой порт, то в случае использования продукта, основанного на негативном управлении, он должен либо заблаговременно получить необходимую информацию, либо постоянно отслеживать все сигнатуры по всем портам. Иначе он пропускает и не видит атаки, поскольку по умолчанию пропускает все, что не знает. Позитивная модели модель (отклонение блокирование по умолчанию) подразумевают классификацию всего трафика, тогда как негативные негативная модели модель (разрешение по умолчанию) подразумевают классификацию только определенного трафика и пропуск неизвестного.

Требования. Требование простое — необходимо исходить из того, что каждое приложение может работать по любому порту, поэтому ваш новый межсетевой экран по умолчанию должен постоянно классифицировать трафик по приложению по всем портам. Это требование нужно предъявлять ко всем современным средствам защиты. Проблема классификации трафика по всем портам будет снова возникать при обсуждении всех оставшихся требований. В противном случае мы по-прежнему будем наблюдать обход средств управления контроля на основе портов с помощью все тех же приемов, которые существуют много лет: хакер перемещает приложение на другой порт и сетевое средство защиты перестает его видеть. С этим пора разобраться в вашей сети.

2. Ваш межсетевой экран нового поколения должен идентифицировать и контролировать инструментыинструменты, позволяющие обходить средства обеспечения безопасности.

Реальный пример. Только небольшое число приложений вашей сети можно использовать для целенаправленного обхода всех политик безопасности, защищающих цифровые ресурсы вашей организации. К инструментам обхода средств безопасности относятся приложения двух классов — приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).

• Внешние прокси и зашифрованные туннельные приложения (не VPN), оснащенные рядом методик маскировки, специально используются для обхода средств обеспечения защиты. Поскольку эти приложения изначально создаются для обхода средств безопасности и поэтому способствуют рискам для бизнеса и защиты, они не имеют для вашей сети никакой бизнес-ценности.

• Инструменты управления удаленным сервером/рабочим столом, такие как RDP и Teamviewer, обычно используются работниками служб поддержки и ИТ-специалистами в целях повышения эффективности работы. Они также часто используются сотрудниками организаций для подключения к домашним и другим компьютерам за пределами корпоративной сети в обход межсетевого экрана. Злоумышленники прекрасно знают об использовании таких приложений, и в официально публикуемых отчетах Verizon Data Breach Report (DBIR) сообщалось о том, что эти инструменты удаленного доступа использовались на одном или нескольких этапах сетевых атак. И до сих пор используются.

Если быть точными, не все из этих приложений несут в себе одинаковую степень риска. У приложений удаленного доступа, как и у многих зашифрованных туннельных приложений, имеется свое целевое применение. Однако эти же инструменты все чаще используются злоумышленниками на разных этапах в их упорных сложных атаках. Если организации не смогут контролировать использование этих инструментов обхода средств безопасности, они не смогут успешно выполнять политики безопасности и подвергнут себя всем рискам, для защиты от которых эти средства безопасности предназначены.

Требования. Существуют различные типы приложений обхода средств защиты, и методики, которыми оснащаются приложения каждого из этих типов, слегка различаются. Существуют публичные и частные внешние прокси (крупная база данных публичных прокси представлена на сайте proxy.org), которые могут использовать и HTTP, и HTTPS. Частные прокси часто настраиваются на базе не классифицируемых IP-адресов (например, домашних компьютеров) с такими приложениями, как PHProxy или CGIProxy. Такие приложения удаленного доступа, как RDP, Teamviewer или GoToMyPC, имеют законное применение, однако из-за связанного риска должны строго контролироваться. Большинство других приложений для обхода защиты (например, Ultrasurf, Tor, Hamachi) не имеют никакого бизнес-значения для вашей сети. Независимо от состояния вашей политики безопасности, ваш межсетевой экран нового поколения должен быть оснащен специальными методиками, позволяющими идентифицировать и контролировать все перечисленные приложения, не привязываясь к конкретному порту, протоколу, методу шифрования или другой тактике обхода. И еще один важный момент: приложения, обеспечивающие обход средств защиты, регулярно обновляются, что еще больше затрудняет их выявление и контроль. Поэтому так важно понять не только то, что ваш межсетевой экран нового поколения должен идентифицировать эти приложения обхода. Важно также знать, как часто выполняется обновление и обслуживание функций контроля приложений, которыми оснащен ваш межсетевой экран.

3. Ваш межсетевой экран нового поколения должен обеспечивать расшифровку и проверку SSL, а также контролировать управление SSH.

Реальный пример. Реальный пример. В настоящее время 30% приложений в современных корпоративных сетях тем или иным образом, в той или иной форме, используют протокол SSL. Принимая во внимание тот факт, что конечные пользователи все чаще применяют HTTPS для многих востребованных приложений с высокой степенью риска (таких как Gmail, Facebook), а также могут применять SSL на многих веб-сайтах, ваши специалисты службы безопасности сталкиваются с тем, что им становится неподвластна все большая часть сетевого трафика, и они теряют возможность расшифрования, классификации, контроля и сканирования трафика, зашифрованного с помощью SSL. Естественно, межсетевой экран нового поколения должен быть достаточно гибким, чтобы оставлять как есть трафик определенных типов, зашифрованный с помощью SSL (например, веб-трафик от финансовых служб или организаций здравоохранения), и расшифровывать трафик других типов (например, SSL на нестандартных портах, HTTPS с не классифицируемых веб-сайтов), прибегая согласно к установленной политике. Использование SSH носит практически универсальный характер, и конечные пользователи могут легко настраивать этот протокол для своих личных целей, как и любой другой инструмент для управления удаленным рабочим столом. Тот факт, что данные, передаваемые по SSH, зашифрованы, делает этот протокол эффективным средством для скрытия действий нерабочего характера.

Требования. Возможность расшифрования SSL — это основополагающий фактор выбора решения по защите сети. И не только из-за того, что речь идет о значительной части корпоративного трафика, но и из-за того, что эта возможность повышает эффективность других ключевых функций, которые без расшифрования SSL будут неполными или неполноценными. К другим ключевым факторам можно отнести выявление и расшифрование SSL на любом порте, как на входе в сеть, так и на выходе; управление политиками расшифрованным трафиком, а также набор аппаратных и программных средств, необходимых для перешифрования SSL в рамках десятков тысяч одновременных подключений SSL с предсказуемой производительностью. Еще одним важным требованием является возможность идентификации и контроля за использованием SSH. Если говорить конкретно, то контроль за SSH подразумевает возможность определения для чего используется протокол SSH: переадресация портовтуннелирование трафика (локальная, удаленная, X11) или предназначенное использование по назначению (SCP, SFTP и доступ к оболочкеshell). Сведения о целях и характере использования SSH можно затем преобразовать в правила политики безопасности.

4. Ваш межсетевой экран должен осуществлять контроль за работой приложений.

Реальный пример. Разработчики платформ приложений, таких как Google, Facebook, Salesforce.com или Microsoft, предлагают пользователям богатейший набор компонентов и функций, которые повышают лояльность пользователей, но при этом представляют сложнейшие профили риска. Возьмем, к примеру, приложение Webex, которое является эффективнейшим бизнес-инструментом. Однако функция совместного доступа к рабочему столу (Webex Desktop Sharing), позволяющая осуществлять доступ к рабочим столам ваших сотрудников с внешнего источника, способствует нарушению внутренних политики или нормативных требований. Другим примером могут служить приложения Google Mail (Gmail) и Google Talk (Gtalk). Как только пользователь входит в систему Gmail, что может быть разрешено политикой, он может легко переключить контекст на Gtalk, что может быть запрещено той же политикой. Ваш межсетевой экран нового поколения должен уметь распознавать и разграничивать отдельные компоненты и функции — только в этом случае можно будет внедрить соответствующие отклики политики.

Требования. Ваш межсетевой экран нового поколения должен постоянно осуществлять классификацию каждого приложения, отслеживая все изменения, которые могут указывать на использование той или иной функции этого приложения для иных целей. Концепция «однократной» классификации трафика не является выходом из положения, поскольку при этом игнорируется тот факт, что эти различные широко распространенные приложенияя могут использовать одни и те же сетевые сессии или выполнять осуществляют доступ к разным сеансам и выполняют сразу несколько функций. Если в данной сессии будет идентифицирована другая сеансе будет представлена другая функция или компонентприложение, межсетевой экран должен зафиксировать этот факт в таблицах состояния сессий и выполнить проверку на базе основе политики. Непрерывный мониторинг состояния с целью выявления различных функций, которые может поддерживать каждое приложение, а также связанных с ними рисков, — это важнейшее требование к вашему межсетевому экрану нового поколения.

5. Ваш межсетевой экран нового поколения должен осуществлять систематическое управление неизвестным трафиком.

Реальный пример. В небольших количествах неизвестный трафик присутствует в каждой сети, однако даже незначительный неизвестный трафик представляет существенный риск для вас и вашей организации. Существует целый ряд важных факторов, имеющих отношение к неизвестному трафику, которые следует учитывать: распределен ли он по категориям, можно ли сократить его до минимума, используя управление на основе политики безопасности, может ли ваш межсетевой экран легко характеризовать кастомные пользовательские приложения так, чтобы они переходили в категорию «известных» приложений в вашей политике безопасности, и способен ли ваш межсетевой экран определить, представляет ли неизвестный трафик угрозу?

Неизвестный трафик также тесно связан с сетевыми угрозами. Злоумышленники часто модифицируют протокол, чтобы поразить Чтобы проникнуть в нужное приложение, злоумышленники часто вынуждены вносить изменения в протокол. Например, для атаки на веб-сервер злоумышленнику может потребоваться изменение заголовка HTTP, в результате которого трафик больше не будет идентифицироваться как веб-трафик. Подобная аномалия может служить ранним свидетельством атаки. Вредоносное ПО также часто использует адаптированные модифицированные протоколы для связи с командным центромв своей модели команд и управления, что позволяет специалистам по безопасности ликвидировать любые проникновения неизвестного вредоносного ПО.

Требования. Ваш межсетевой экран нового поколения по умолчанию должен классифицировать весь трафик на всех портах — это тот аспект, который должен обязательно учитываться на ранних этапах разработки архитектуры и модели управления средствами безопасности. Позитивные Позитивная модели модель (отклонение блокирование по умолчанию) подразумевают классификацию всего трафика, тогда как негативные негативная модели модель (разрешение по умолчанию) подразумевают классификацию только определенного трафика. Классификация всего трафика — это только малая часть проблемы, которую приносит неизвестный трафик. Ваш межсетевой экран нового поколения должен обеспечить видимость всего неизвестного трафика, на всех портах, к одной точке [управления]. Он должен быстро выполнять анализ этого трафика и определять его природу — (1) внутреннее или специальное кастомизированное приложение, (2) коммерческое приложение без сигнатуры или (3) угроза. Кроме того, межсетевой экран должен быть оснащен всеми необходимыми инструментами, которые обеспечат не только видимость неизвестного трафика, но и систематическое систематический его управление им контроль в соответствии с политикой: создание пользовательской сигнатуры, отправка PCAP трафика коммерческого приложения для проведения дальнейшего анализа или проведение аналитического исследования, которое позволит определить, не является ли трафик угрозой.

6. Ваш межсетевой экран нового поколения должен идентифицировать угрозы сканировать приложения на всех портах, проверяя наличие угроз для всех приложений.

Реальный пример. Организации постоянно внедряют все новые и новые приложения, повышающие эффективность бизнеса. Эти приложения могут находиться как внутри сети, так и за ее периметромУправление этими приложениями может осуществляться внутренними или внешними ресурсами. Будь то SharePoint, Box.net, Google Docs, Microsoft Office365 или даже приложение экстрасетиextranet, размещенное у вашего партнера, многие организации должны использовать приложения, способные работать через нестандартные порты, использовать SSL или иметь совместный доступ к файлам. Другими словами, эти приложения могут повышать эффективность бизнеса, но при этом служить вектором развития киберугроз. Более того, некоторые из этих приложений (например, SharePoint) зависят от поддержки технологий, которые являются регулярной мишенью для компьютерных вторжений атак (например, IIS, SQL Server). В этом случае блокировка приложения не решит проблему. Не решит также проблему слепое разрешение всех приложений, несущих с собой соответствующие риски для бизнеса и кибербезопасности.

В борьбе с вредоносным ПО тенденция использования нестандартных портов представляет острую проблему. Поскольку вредоносное ПО базируется в сети и при большинстве соединений вредоносный клиент (вредоносное ПО) связывается с вредоносным сервером (команды и управлениекомандным центром), то злоумышленник может использовать любую комбинацию портов и протоколов. Как показал анализ за последние три месяца, в 97% всего неизвестного вредоносного ПО, проникшегоающего через FTP, использовались только нестандартные порты.

Требования. В процесс безопасного разрешения приложения включено входит разрешение самого приложения и его сканирование на наличие угроз. Эти приложения могут осуществлять связь, используя определенную различную комбинацию протоколов (например, приложение SharePoint использует протоколы CIFS, HTTP и HTTPS и требует применения более сложной политики межсетевого экрана, чем просто «блокировка приложений»). Первым шагом является идентификация приложения (независимо от порта или типа шифрования), определение функций, которые будут разрешаться или отклоняться, и последующее сканирование разрешенных компонентов на наличие угроз — проникновенийэксплоитов, вирусов/вредоносного ПО или шпионского ПО… или даже конфиденциальной, подотчетной или секретной информации.

7. Ваш межсетевой экран нового поколения должен обеспечивать непрерывный контроль над всеми пользователями, независимо от местоположения или типа устройства.

Реальный пример. Ваши пользователи все чаще работают за стенами организации, осуществляя доступ к корпоративной сети со своих смартфонов или планшетов. В настоящее время значительная часть ваших сотрудников имеет возможность работать удаленно. Работая в любом месте — за столиком в кафе, у себя дома или в организации клиента — ваши сотрудники считают само собой разумеющимся, что они могут подключаться к своим рабочим приложениям через WiFi, беспроводную широкополосную сеть или другой вид связи. Независимо от местоположения пользователя или даже самого приложения, межсетевой экран должен применять один и тот же стандарт управленияконтроля доступа. Если ваш межсетевой экран нового поколения обеспечивает визуализацию и контроль приложений только в пределах стен организации, но не за ними, он в любой момент может упустить трафик, представляющий огромный риск.

Требования. В принципе, требования просты — ваш межсетевой экран нового поколения должен обеспечивать постоянную видимость визуализацию и контроль трафика любому любого авторизованному авторизованного пользователюпользователя, независимо от его местоположения. Это не означает, что в вашей организации будет применяться одна и та же политика для трафика в пределах и за пределами территории. Например, некоторые организации допускают использование сотрудниками программы Skype, но не разрешают ее использовать на рабочем месте. Согласно политике других организаций, вне офиса сотрудники не могут загружать вложения salesforce.com, если только у них не активировано шифрование жесткого диска. Все это должен обеспечить ваш межсетевой экран нового поколения, причем при этом он должен исключить существенные задержки для конечных пользователей, чрезмерные трудности для сетевых администраторов или значительные затраты для организации в целом.

8. Ваш межсетевой экран нового поколения должен обладать расширенными функциями управления приложениями, что позволит упростить задачи сетевой безопасности.

Реальный пример. Многие организации постоянно стремятся внедрять дополнительные информационные каналыпотоки, политики и средства управления, в то время как их специалисты в области информационнной безопасности уже сильно перегружены, управляя множеством процессов защиты. Другими словами, если ваши сотрудники не справляются со своими текущими задачами, то добавление устройств и управление интерфейсами, а также соответствующими политиками и информацией, не позволит разгрузить ваших специалистов, равно как и не ускорит процесс обработки инцидентов. Чем больше рассредоточены роли в определенияхсложнее политики политика (например, межсетевой экран на базе портов разрешает трафик через порт 80, система предотвращения вторжений выявляет/блокирует угрозы и приложения, шлюз для веб-защиты выполняет контроль URL-адресовзапросов), тем тяжелее эту этой политику политикой управлять соблюдать. А какую политику в отношении WebEx используют ваши специалисты по безопасности? Как они определяют и решают конфликты политики на различных устройствахи, имеющие отношение к этим разным устройствам? Если предположить, что для типичных межсетевых экранов на основе портов определены базы правил, включающие тысячи всевозможных правил, то при добавлении тысяч сигнатур приложений в рамках десятков тысяч портов сложность будет возрастать в десятки раз.

Требования. Работа вашей организации основана на приложениях, пользователях и содержимом, поэтому ваш межсетевой экран нового поколения должен позволять использовать политики, напрямую поддерживающие все ваши бизнес-инициативы. Обмен информацией, охватывающий приложения, пользователей и содержимое во всех их аспектах (видимостьвизуализация, управление контроль на основе политикна базе политики, ведение журналов и формирование отчетов), поможет значительно упростить вашу инфраструктуру безопасности. Политика межсетевого экрана, основанная на портах и IP-адресах и используемая совместно с отдельными политиками для управления приложениями, системами защиты обнаруженияот вторжений и защиты от вредоносного ПО, только усложнит процесс управления на базе политик и, в конечном счете станет препятствием развитию бизнеса.

9. При полной активации функций управления приложениями ваш межсетевой экран нового поколения должен обеспечивать такую же пропускную способность и производительность, как прежде.

Реальный пример. Многие организации ведут постоянную напряженную работу, пытаясь добиться оптимального баланса между производительностью и безопасностью. Нередко активация функций безопасности на вашем межсетевом экране означает заведомое принятие того факта, что пропускная способность и производительность будут существенно снижены. Если ваш межсетевой экран нового поколения разработан правильно, вам не потребуется сражаться за этот баланс.

Требования. При рассмотрении этого требования также становится очевидным значение архитектуры, только в несколько ином ключе. Поспешный подбор выбор межсетевого экрана на основе портов и других функций средств обеспечения информационной безопасности от разных поставщиков производителей технологий обычно выливается в чрезмерное количество сетевых уровней, механизмов сканирования и политик, что приводит к снижению производительности. Исходя из возможностей программного обеспечения, мМежсетевой экран должен быть нацелен на эти задачи еще при разработке архитектуры ПОс самого начала разработки. Более того, если считать, что вам требуется выполнять ресурсоемкие вычислительные задачи (такие как идентификация приложений, предотвращение угроз на всех портах и т. д.) в среде высокоинтенсивного трафика, не допускающей малейшие задержки в работе критически важной инфраструктуры, ваш межсетевой экран нового поколения должен быть оснащен специальными выделенными аппаратными и всеми аппаратными средствами, компонентами необходимыми для сканирования сетей, систем безопасности и содержимогодля выполнения таких задач.

10. Ваш межсетевой экран нового поколения должен быть оснащен одинаковыми наборами функций для аппаратного и виртуального форм-фактора.

Реальный пример. Стремительное распространение виртуализации и облачных вычислений приводит к появлению новых проблем задач в области безопасности, и с помощью старых межсетевых экранов прежних версий, для которых характерна несогласованная работа компонентовфункций, разрозненность механизмов управления и нехватка точекотсутствия интеграции с виртуализированной средой, решить эти проблемы задачи сложно или вообще невозможно. Чтобы защитить как входящий и выходящий трафик центра обработки данных, так и трафик внутри виртуализированных сред вашей организации, ваш межсетевой экран нового поколения должен предлагать абсолютно одинаковые одинаковый функции функционал как в аппаратных, так и виртуальных форм-факторах.

Требования. Динамическая Динамическое создание и настройка и отмена приложений в среде виртуализированного центра обработки данных еще больше усложняет задачи идентификации и контроля приложений, выполняемые выполняемых на основе портов и IP-адресов. Кроме тех функций, которые уже описаны в разделе 10 обязательных функций межсетевого экрана нового поколения и имеют отношение как к аппаратным, так и к виртуальным форм-факторам, важно, чтобы ваш межсетевой экран нового поколения поддерживал всестороннюю интеграцию со средой виртуализации. Это позволит создавать политики безопасности, основанные на приложениях, даже для динамической среды современного центра обрвботки данных, где не прекращается процесс создания и изменения виртуальных машин и приложений.. Благодаря этому при добавлении и удалении новых виртуальных машин и приложений можно будет создавать соответствующие политики, нацеленные именно на приложения. Это единственный способ, который гарантирует поддержку развития архитектур современных центров обработки данных, обеспечивает операционную гибкость и защиту от рисков и позволяет соблюдать стандарты и нормативы.

Межсетевые экраны должны обеспечивать безопасную работу приложений — и всецело поддерживать ваш бизнес