Next Generation Firewall – новое или забытое старое

История эволюции решения

Изначально проблематика межсетевого экранирования сводилась к необходимости иметь контроль над проходящим трафиком и возможности защитить сеть от многих базовых сетевых атак. Рассмотрим эволюцию межсетевых экранов, как она проходила и какие функции были востребованы по мере развития:

• 1-е поколение МсЭ – характеризовал возможностью применять ACL для фильтрации трафика и оперировать в них понятием портов, протоколов (3-го и 4-го уровня модели OSI), адресов источника и назначения.
• 2-е поколение МсЭ – характеризуется прокси-функционалом, фактически прерывая на себе клиент-серверное взаимодействие, как разбирая протокол конкретных приложений с командно-функциональной точки зрения, так, в некоторых случаях, и выполняя поиск подозрительного контента.
• 3-е поколение МсЭ – устройства, поддерживающие отслеживание статуса соединений, анализирующие время открытия и закрытия сессии между клиентом и сервером по различным протоколам транспортного уровня OSI. Начал активно появляться дополнительный функционал защиты с использованием статуса соединения.
• 4-е поколение МсЭ – системы динамической фильтрации могли производить изменение ACL для прохождения трафика установленных сессий. Важным изменением для этого поколения является адаптивное открытие ACL в зависимости от потребностей протоколов вышестоящего уровня приложений (инспекция протоколов приложений).

На 4-м этапе развития МсЭ, когда анализ вышел до уровня 7 модели OSI, появилась возможность написания правил системных политик, ограничивающих и более строго описывающих поведение протоколов уровня приложений; появилось и развивалось желание вендоров все более детально не просто отслеживать соответствие протокола приложений RFC и контролировать передаваемые команды (пример FTP: DIR, OPEN, GET, PWD), а увидеть и фильтровать передаваемый динамический контент.

Проблематика сегодняшнего дня

Для МСЭ необходимость глубокого анализа приложений сегодня опирается на следующие проблемы:

• HTTP. Очень большая часть передаваемого контента в недоверенные сегменты сети (Интернет) традиционно идет через протокол HTTP, и связанные риски здесь идут не только нога в ногу с неэффективным использованием рабочего времени (хождение по развлекательным сайтам), но и с огромным потенциалом для получения Malware и утечки данных. За годы своего развития и популярности HTTP стал предоставлять гораздо больший функционал, нежели просто HTML Plain-страницы, это и Flash, Java, HTML5, ASP, PHP, JSP, XML, CSS, стриминговые и другие сервисы – огромный потенциал донесения динамического онлайн-контента до потребителя, как запрашиваемого, так и злонамеренно скрытого. В какой-то степени можно провести аналогию и сказать, что HTTP превратился в аналог TCP, поскольку десятки тысяч приложений с различным вложенным функционалом на текущий момент работают поверх HTTP. И если раньше мы открывали 80-й порт наружу, защищаясь от угроз средствами вроде антивирусного анализа скачиваемых файлов и URL-фильтрации по категориям, то теперь, с отсутствием возможности контролировать функционал приложений и функций внутри них, мы остаемся слепы к огромному количеству угроз сегодняшнего дня.

• Нестандартные порты приложений, динамические приложения. Совсем не новый подход в попытке скрытия и обхода МсЭ – это использование нестандартных портов приложений. Один из простых методов блокировки таковых попыток – это запрет любого не RFC-compliant трафика с привязкой к порту; в данном случае вопрос обстоит куда глубже. Традиционная политика МсЭ с инспекцией протоколов и фильтрацией L3/L4 необходима, но уже не достаточна. Если у нас стоит задача разрешить Skype группе пользователей и при этом требуется запретить все функции, кроме чата (пример: для общения с клиентами), – здесь нам уже никак не поможет фильтр по портам и RFC. Примеров может быть множество: Bittorent, Skype, Facebook и многие как хорошо известные приложения, так и не очень, могут быть нужны в вашей сети, задача администратора ИБ сделать доступным бизнес-сервис и обеспечить его работу безопасным образом. К примеру, возможность вырезать функцию отправки файлов в Facebook/Skype/GMail может служить реальным инструментом в борьбе с каналами утечки данных, оставляя доступным сам сервис.

• SSL – отличная инициатива поддержания конфиденциальности в глобальной сети, имевшая под собой только светлое начало, принесла и определенные негативные последствия: пользоваться ей активнейшим образом стали и злоумышленники. Поскольку протокол работает на уровне cессий, он инкапсулирует в себе трафик вышестоящего протокола, давая возможность использования шифрованного туннелирования различных протоколов. Тот же Zeus использует Encrypted File Download, сайты, предоставляющие Malware и фишинговые сервисы, используют сервисы HTTPs с легитимными сертификатами для эмуляции своей защищенной и легитимной натуры, Malware использует SSL для вывода из сети конфиденциальных данных.

Стоит рассмотреть и ландшафт угроз в разрезе жизненного цикла атаки, который состоит из мер, принимаемых до атаки, во время атаки и после атаки. Статистика последних лет показывает феноменальный ежегодный рост производимого ежедневно Malware-контента, особенно настораживает уникальность экземпляров. Жизненный цикл современного Malware составляет порядка трех дней, пока оно не будет обнаружено по глобальной корреляции, поведенческому анализу и не выйдут соответствующие сигнатуры. Тем не менее, достаточно всего 1% угроз, прошедших интернет-периметр, для компрометации сети. Попадая в сеть через корпоративный МсЭ как в открытом виде через трафик приложений, и необязательно HTTP, так и в SSL-шифрованном виде, таковые активности могут легко пройти сквозь МсЭ. Полиморфизм, шифрование, отложенный запуск и обнаружение виртуальной среды – все эти методы способствуют обходу и систем сетевых песочниц и антивирусов.

К сожалению, малое внимание уделяется проблематике расследования инцидентов, сбора информации о прошедшей угрозе. Вопрос защиты сети уже не может стоять в 100% (что, по сути, недостижимо) защите от проникновений и компрометации, а в быстром обнаружении, более эффективном и сжатом сроке расследования и закрытии инцидента.

Представление о реализации МсЭ нового поколения

Ограничения старых поколений МсЭ, современные требования и технологическое развитие привели к необходимости появления нового поколения межсетевых экранов – NGFW (Next-Generation Firewall). Данный класс устройств формирует политику доступа, оперируя не столько сетевыми параметрами соединения, сколько конкретными приложениями и функциями в них. Определение типа приложения должно быть отвязано от порта по умолчанию с целью определения приложений на основании глубокого анализа трафика без статичной привязки к порту.

Ввиду многогранности угроз, описанных выше, необходим новый механизм эффективной защиты от Malware, работающий как единое решение с МсЭ, интегрируемый как с сетевой составляющей, так и с хостовой.

Все вышеуказанные механизмы должны работать как многоуровневая система, дающая возможность отслеживания всех файловых угроз еще до обнаружения их принадлежности к вредоносному ПО. Ретроспективный анализ привнесет видимость в процессы попадания и распространения угрозы в сети, а тесная интеграция с хост-составляющей выведет на уязвимость в оконечной системе, воспроизведет и детализирует активности на хосте вредоносного ПО еще до того, как оно было опознано как вредоносное. Такой подход дает возможность значительно ускорить время расследования инцидента, поиска и устранения причины возникновения с централизованным карантином и блокировкой дальнейших инфекций.

Глобальное распространение Botnet-активностей, TOR/Open-Relay Proxy-систем анонимизации с постоянно меняющимися базами Proxy/серверов и других источников актуальных угроз требуют постоянно обновляемого актуального источника информации о таковых угрозах. МсЭ должен не просто блокировать таковые соединения, но отслеживать для возможности использовании алгоритмов внутренней корреляции.

Современный МсЭ должен видеть угрозы, исходящие по многим векторам, и уметь их сопоставить, коррелировать, проанализировать и дать гибкий механизм эффективного противодействия. Таким образом, выполнение базовых свойств SIEM-системы непосредственно на уровне МсЭ с централизованным управлением и аналитикой становится сегодня во главу угла. Примером такой работы может служить МсЭ, сопоставляющий события проникновения Malware на хосты, возникновения атак сканирования и других вторжений, установления соединения с Botnet-сервером и возводящий эти активности в инцидент – индикатор компрометации.

Заключение

Желание углубиться в анализ и контролировать передаваемый контент пользователя не ново, и ранее фильтрация выполнялась на Application Proxy, хоть и с ограничениями. Только с появлением решений МсЭ нового поколения реализация вышла на новый качественный уровень в виде целостного продукта, занявшего свою нишу в портфолио решений сетевой информационной безопасности.

Современные NGFWs должны уметь вобрать в себя все лучшие наработки предыдущего поколения систем межсетевого экранирования и добавить глубокую мультипротокольную аналитику приложений с управлением их функциями, перехватом и исследованием SSL-трафика. Комбинированные APT-угрозы сегодняшнего дня требуют комплексного подхода и многовекторного анализа угроз вторжений, специализированных средств обнаружения Malware, эффективной системы предотвращения вторжений. Создание единой системы из многопрофильных тесно интегрируемых компонент даст возможность локализации инцидента не за дни и недели, а за минуты.