В Крокус Экспо 25 сентября начнет свою работу X Международная выставка InfoSecurity Russia'2013 Весь спектр межсетевых экранов в одной тестовой зоне

Антон Разумов
Руководитель группы консультантов
по безопасности, Check Point

- Ваша компания одна из первых поддержала инициативу организации тестовой зоны "Межсетевые экраны" на выставке InfoSecurity Russia. На ваш взгляд, чем обусловлена такая необходимость организации такой зоны?
- Межсетевой экран является абсолютно необходимым элементом обороны. Построение системы защиты периметра без него просто немыслимо. Соответственно на рынке представлено множество решений от разных производителей. При этом функционала пакетной фильтрации, с которой все начиналось, совершенно недостаточно. Производители предлагают очень разный функционал в своих решениях.

И для того чтобы иметь возможность сравнить различные продукты, предлагается организовать тестовую зону, где можно будет быстро оценить ключевые возможности тех или иных решений.

- Какие возможности, на ваш взгляд, открываются перед посетителями тестовой зоны?
- Зачастую универсальный термин "межсетевой экран" сильно дезориентирует потребителя, ведь функционал межсетевых экранов может порой различаться не менее сильно, чем фотоаппарат в стареньком телефоне от профессиональной современной зеркалки.

На стендах пользователи смогут быстро ознакомиться с различными предложениями, понять терминологию, выяснить интересующие вопросы непосредственно у специалистов компаний-производителей и определиться с необходимым функционалом.

- За счет чего посетители смогут сориентироваться среди представленных МСЭ?
- Как правило, название какой-то функции, термин, встречающийся в описании продукта, таблице параметров, не несет достаточной информации для потребителя. Возможность же задать вопросы представителю компании, сразу же посмотреть интересующий функционал в действии позволяет быстро оценить множество решений и отобрать наиболее подходящие для более глубокого последующего анализа. В тестовой зоне не предусмотрено проведение сравнительных испытаний. Концепция мероприятия заключается в том, что посетитель сам строит свою программу, имея возможность в одном месте пообщаться по очереди со всеми основными производителями межсетевых экранов и произвести свой сравнительный анализ.

- Некоторые компании уже сейчас заявляют, что представят в тестовой зоне МСЭ следующего поколения. Каким критериям, на ваш взгляд, они должны соответствовать?
- Изначально политики безопасности формировались лишь с учетом IP-адресов и портов. Затем, 20 лет назад, компания Check Point изобрела технологию Stateful Inspection, которая стала фактически стандартом в отрасли. Была добавлена проверка протоколов на соответствие стандартам. Например, не просто открывался порт 80, но осуществлялся контроль, что по нему передаются данные, соответствующие протоколу http, но не, к примеру, туннелирование в ssh.

В настоящее же время даже этого мало. В рамках http, https может работать множество приложений и сервисов, например Facebook, Youtube, Dropbox, ICQ... To есть речь идет не только о просмотре Web-страниц, но и передаче аудио, видео, файлов и т.д. Многие из этих действий не только нежелательны для компаний, но даже опасны. Поэтому межсетевые экраны нового поколения должны предлагать значительно более глубокую инспекцию, более развитый функционал, чем ранее.

Более того, поскольку появились новые категории и классы атак, даже анализа приложений (в дополнение к анализу портов и протоколов) не достаточно. Межсетевой экран нового поколения должен включать в себя много уровней защиты, в частности, помимо firewall и системы предотвращения атак, он должен уметь блокировать вирусы и другое вредоносное ПО, обнаруживать и блокировать ботнеты, обеспечивать фильтрацию URL, антиспам, предотвращать утечки данных, обеспечивать удаленный доступ пользователей как с компьютеров и ноутбуков, так и со всевозможных смартфонов и планшетов.

Безусловно, политики безопасности должны формироваться с учетом идентификации пользователя (например, в Active Directory), его способа подключения, устройства, с которого он работает.

Также следует помнить, что, помимо своих непосредственных функций защиты, МСЭ нового поколения должен предоставлять исчерпывающую информацию о происходящих событиях, то есть тесно интегрироваться с системами мониторинга, корреляции событий, подготовки отчетов. Например, гораздо легче разобраться с инцидентом, когда в логах МСЭ видны не просто IP-адреса, но и имя компьютера, пользователя, который работал за ним именно в это время...

Фактически МСЭ нового поколения - это комплексное решение, которое объединяет очень разнообразный функционал и при этом обеспечивает высокую управляемость, отказоустойчивость и масштабируемость.