Построение надежного межсетевого экрана: какой нужен вам?

Петр
Ляпин

начальник службы информационной безопасности ООО “НИИ Транснефть"

1. Не ко всему в окружающем нас мире применим метод дихотомии. Более того, если подходить с позиции ключевых понятий конфиденциальности, целостности и доступности, может показаться, что вопрос вовсе теряет смысл. Дьявол, как водится, в деталях, среди которых наличие специальных требований и задач, решать которые призван конкретный МЭ. Ничего не мешает в отдельных случаях скомпенсировать надежность отдельно взятого МЭ иными средствами, а может быть, и пренебречь ею в пользу функциональности. Разумеется, в каждом конкретном случае подходы будут различными, и опираться они должны как на общие (использование МЭ на периметре или внутри него), так и специальные требования. Иными словами, в рамках проектирования одного объекта могут выбираться и более надежные, и более функциональные МЭ одновременно.

2. МЭ, безусловно, может являться мишенью, порой даже чаще других элементов, ввиду специфики решаемых им задач. Методы защиты напрямую зависят от угроз, а их применимость определяется конкретными условиями. Например, в случае защиты от DDoS одним из методов может быть использование внешних сервисов фильтрации. Поставщиками таких сервисов могут быть как операторы услуг связи, обеспечивающие "последнюю милю" и имеющие соответствующие ресурсы, так и различные сервис-провайдеры (Лаборатория Касперского, Akamai и др.).

3. Правильнее было бы ставить вопрос: "Что именно в управлении МЭ можно отдавать на обслуживание?". Спектр здесь очень широк: от подсистем электропитания и прочего обеспечения до высокоуровневого управления и глубокого анализа трафика. Вторая половина вопроса охватывает крайне важные организационные моменты, такие как способы и средства стороннего управления (осуществляется ли оно на территории заказчика и под его контролем или же удаленно и бесконтрольно, и прочие подобные моменты). Поэтому перед тем как ставить вопрос аутсорсинга на рассмотрение, целесообразно, кроме прямых финансовых аспектов, внимательно подойти к нему с учетом обозначенных позиций.

4. Сам термин "уязвимость нулевого дня" в какой-то степени содержит ответ на вопрос. Под этим термином обычно понимаются неустраненные уязвимости, в т.ч. новые уязвимости, механизмы защиты от которых еще не разработаны. В определенном объеме от таких уязвимостей можно защищаться путем выявления и блокирования активности по некоторым поведенческим параметрам, с использованием репутационных оценок внешних ресурсов и другими подобными методами. Такая задача в определенном объеме решаема средствами современных NGFW, что подтверждается вполне конкретной статистикой пилотных и промышленных внедрений. "В определенном объеме" – потому что применяемые методы не охватывают и не могут охватывать весь спектр уязвимостей, а также потому что новые уязвимости могут и не иметь известных и технически контролируемых в настоящий момент демаскирующих признаков.

5. Говорить о том, что непосредственно в связи с импортозамещением резко изменились требования к закупкам МЭ, не совсем верно. Прежде всего, следует внимательно отделить зерна от плевел.

Требования непосредственно к закупкам регулируются действующим законодательством (№ 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц", № 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" и др.).

Требования непосредственно к МЭ регулируются соответствующими руководящими документами ФСБ и ФСТЭК.

А вот вопросы применения в конкретных условиях тех или иных МЭ регулируются в соответствующей области как действующим законодательством (например, № 152-ФЗ "О персональных данных"), приказами органов исполнительной власти (например, приказ Минкомсвязи от 03.05.2015 № 120), так и отраслевыми и внутренними нормативными документами организаций.

Денис
Батранков

Консультант по информационной безопасности, CISSP, PaloAlto Networks

1. Надежность. Вышедший из строя МСЭ прервет трафик и, возможно, работу бизнеса, что более негативно повлияет на него, чем отсутствие какого-то функционала. Существуют одновременно надежные и функциональные МСЭ, поэтому у заказчиков такой дилеммы обычно не бывает.

2. Да. Сам МСЭ всегда является мишенью для атак. Существует понятие Bastion Host – это означает, что разработчик продукта и тот, кто его эксплуатирует, должны выполнить определенные требования и процедуры по защите самого межсетевого экрана, его интерфейсов и особенно интерфейса управления.

3. Это совершенно нормальный метод для работы с любым устройством безопасности. Дело в том, что никакой человек не может долго читать журналы, и поэтому часть функционала по чтению журналов однозначно надо отдавать на аутсорсинг в компании, где существуют специальные процессы, позволяющие своевременно диагностировать атаки и оповестить заказчика. Часть функционала защитного устройства, а именно настройку правил

МСЭ, создание объектов, добавление пользователей, я бы не отдал – это создает дополнительные риски, что негативно может повлиять в случае инцидентов или стать причиной инцидента.

4. Да, современные межсетевые экраны нового поколения содержат функционал анализа вредоносного кода по поведению, поведенческий анализ соединений, подключены к облаку знаний для динамического управления черными списками адресов, с которых происходят атаки хакеров и удаленное управление бот-сетями, что позволяет защищаться от неизвестных атак на корпоративную сеть.

5. Никак не изменились. Связано это с отсутствием альтернативы импортным межсетевым экранам. По словам заказчиков, лучший отечественный межсетевой экран отстает по своим возможностям от импортных аналогов на 5–10 лет. Замена на такие МСЭ приведет к снижению безопасности в сети и повышению операционных расходов.

Отдельной темой идет пропаганда замены на продукты с открытым кодом, однако это означает, что продукт разрабатывался в основном за границей, вдобавок неизвестными людьми, и, соответственно, вообще никто не несет ответственности за появление уязвимостей и даже закладок в таком коде. А уязвимости там находят похлеще, чем в ПО с закрытым кодом, где у вендоров есть процедуры проверки кода на безопасность. Наивно полагать, что можно выявить все уязвимости в программном продукте, если он доступен всем. Уязвимости там ищут только хакеры и спецслужбы. Им очень удобно это делать – код-то предоставлен.

Илья
Розенкранц

Менеджер по продукту ALTELL NEO, ООО “АльтЭль"

1. Я предлагаю отойти от постановки вопроса в стиле "или-или". Функциональность МЭ – набор механизмов, с помощью которых осуществляется защита от несанкционированного доступа, или, говоря другими словами, фильтрация на L2–L7 уровнях модели ISO/OSI. Термин "надежность" обычно относят к "железной" составляющей: мы смотрим на заявленные производителями цифры MTTR и MTBF), а также на длительность гарантии и скорость отклика технической поддержки. По этой причине рекомендую не выбирать между функциональностью и надежностью, а обращать внимание на межсетевые экраны нового поколения с длительной (не менее трех лет) гарантией, которые обеспечат и то, и другое.

2. Да, безусловно. Атаки на МЭ можно разделить на несколько типов:

• DoS и DDoS. От DoS (например, SYN Flood или Buffer Overflow) можно защититься средствами межсетевого экрана. От распределенных DoS-атак 100% панацеи нет;
• получение Root-прав на МСЭ, используя уязвимости установленной операционной системы;
• атаки на конкретные реализации протоколов (пресловутый Heartbleed в OpenVPN). Защита от этих атак стандартная – своевременное обновление системного ПО, замена устаревших межсетевых экранов на решения вендоров, активно поддерживающих свою разработку.

3. Из-за ряда национальных особенностей российский бизнес всегда весьма осторожно подходит к передаче какой-либо ценной информации и критичных бизнес-процессов вовне, особенно если дело касается безопасности. Пока не будет законов, четко поясняющих механизмы передачи прав на управление ИБ-инфраструктурой и ответственность за нарушение взятых обязательств, лично я отдавать управление МЭ на аутсорсинг не стал бы. Думаю, со мной согласится большинство российских ИБ-специалистов.

4. Нет. В настоящее время большинство NGFW используют антивирусы и системы обнаружения вторжений, использующие сигнатурный анализ, т.е. анализ постфактум. Для проактивной защиты необходимо присутствие других технологий, в том числе песочница, эмуляция кода, эвристический анализ, которые есть далеко не у всех производителей. Но даже используя все перечисленные технологии, нельзя на 100% гарантировать, что атака не пройдет успешно. Можно говорить только о снижении вероятности успешной атаки.

5. После провозглашения тренда на импортозамещение представители многих организаций, особенно государственных, стали уделять внимание расположению производственных мощностей, стране происхождения аппаратной платформы и комплектующих, гражданству собственников предприятия, а также наличию сертификатов ФСТЭК и ФСБ. Так как мы являемся российским производителем, мы получили существенные преимущества за счет использования собственной производственной базы и центра разработок, а также благодаря наличию сертификатов высокого класса.

Марина
Чанаева

Менеджер по развитию бизнеса “Лаборатории Касперского" в России и странах СНГ, департамент технологического лицензирования

2. Несомненно, любое средство защиты информации может стать объектом атаки, и файрвол не является исключением. История знает примеры, когда злоумышленники пытались эксплуатировать уязвимости в экранах.

Чтобы избежать этого, прежде всего для файрвола следует выбирать доверенное ПО от известных производителей, которые обладают внушительным опытом работы в индустрии ИБ и внимательно следят за качеством и безопасностью своих продуктов.

Для того чтобы защититься от атаки, в ходе которой может эксплуатироваться уязвимость в МЭ, необходимо осуществлять регулярную и оперативную установку обновлений, которые выпускает производитель.

Ну и наиболее важный метод, который позволит обезопасить не только файрвол, но и защищаемую им сеть, – интегрированное антивирусное решение. МЭ с интегрированным решением для защиты от вредоносного ПО развертывается в точке входа интернет-трафика в корпоративную сеть. Проще говоря, на входе у файрвола канал от вашего интернет-провайдера, а на выходе – каналы, ведущие на корпоративные серверы и рабочие станции локальной сети. В результате любой пакет, поступивший на IP-адрес компании из Интернета, сначала попадает на МЭ, где его проверяет защитное решение. Сегодня технологии защиты от вредоносного ПО – это ключевой компонент защиты почтовых и интернет-шлюзов, а также программно-аппаратных комплексов UTM (Unified Threat Management).

4. Если уязвимость нулевого дня содержится в стороннем ПО (не в файрволе), то при определенных характеристиках этой уязвимости средство межсетевого экранирования может защитить от ее эксплуатации. Например, при помощи файрвола можно запретить отправку каких-либо пакетов, эксплуатирующих уязвимость нулевого дня в стороннем ПО.

Однако если уязвимость нулевого дня содержится в самом МЭ, то в данном случае защищаться необходимо дополнительными технологиями защиты (например, встроенными в ОС), которые не позволят осуществить эксплуатацию уязвимости.

5. На волне импортозамещения увеличился спрос на все средства защиты информации отечественного производства. При этом в области ИБ много российских компаний-разработчиков, давно и успешно конкурирующих с иностранными решениями не только на родном рынке, но и далеко за его пределами.

Юрий
Черкас

Руководитель направления инфраструктурных ИБ-решений компании “Инфосистемы Джет"

1. Здесь важно как то, так и другое – требования должны быть как к первому, так и ко второму, одно без другого быть не должно. Потому что межсетевой экран должен быть надежным и защищать периметр инфраструктуры. В этом контексте можно провести аналогию с забором. Что толку от надежного забора на бетонных основательных столбах, если его высота полметра и через него можно запросто перешагнуть? А может быть наоборот – двухметровый сплошной забор упадет от легкого дуновения ветра из-за непрочных хиленьких столбиков.

2. Достаточно часто именно межсетевые экраны как первые рубежи защиты периметра сети в случае DDoS-атак становятся мишенью. Они попросту не выдерживают ее и "захлебываются". У межсетевого экрана есть своя функциональность (у одних одна, у других другая), и это отнюдь не защита от DDoS-атак. Решением проблемы является использование специализированных средств защиты на уровне провайдера или специализированных решений в связке с межсетевым экраном (например, Arbor, Radware, Касперский и т.п.).

3. Некоторые заказчики отдают на аутсорсинг поддержку работоспособности МЭ, а также их настройку с точки зрения фильтрации трафика, политик безопасности и т.д. (всех настроек сетевого уровня). Практика подтверждает эффективность данного подхода. Например, администратору необходимо открыть доступ как можно быстрее, что он и делает, несмотря на то, что такой доступ мог быть уже открыт ранее или вовсе противоречит корпоративным политикам, архитектуре и пр. Получается, что проблема состоит в недоработанных процессах и роли человеческого фактора. Взяв на аутсорсинг управление МЭ, компания-интегратор несет ответственность за весь процесс, поэтому и нужно, чтобы ею активно использовались механизмы дополнительного контроля, тогда как у самого заказчика до этого, как правило, не доходят руки.

4. Тема защиты от атак и уязвимостей нулевого дня в тренде уже второй год. По моему мнению, универсальной таблетки от всех болезней нет, равно как и нет универсального решения, гарантированно защищающего от атак нулевого дня. И когда производители говорят о том, что они обеспечивают защиту от атак нулевого дня при помощи своего NGFW, они все-таки несколько лукавят. Да, безусловно, файрволы нового поколения (NGFW) могут предложить какую-то функциональность по защите от таких угроз. Но даже они не имеют функционала так называемой "песочницы". Конечно, ряд производителей (CheckPoint, PaloAlto) предлагают такие дополнения к файрволам. Но это не столько расширение функционала самого файрвола, сколько самостоятельное специализированное решение по защите от атак нулевого дня. Хотя есть возможность получить этот функционал в облачном сервисе, но и в этом случае говорить о защите силами NGFW не вполне верно.

5. Отечественные производители предлагали и предлагают рынку файрволы классического типа. Да, это не NGFW, но тем не менее у них доступен функционал VPN с использованием ГОСТ`ового шифрования. И если необходимо использовать средство с сертификатом ФСТЭК/ФСБ, то они активно внедряются. С другой стороны, мировые лидеры, предлагающие решения промышленного класса, не менее внимательно относятся к сертификации своих продуктов по требованиям российского законодательства. Check Point, например, даже выпустил заявление о том, что компания не присоединяется к санкциям и планирует выполнять все свои обязательства по поставкам и технической поддержке в полном объеме. Эта позиция подтверждается на практике числом заключенных за последнее время контрактов. Совместные проекты с отечественными производителями также имеют место быть. Также имеет смысл отметить, что и отечественные производители "Инфотекс", "Код безопасности", "С-Терра" и др. активно развивают свои продукты, дополняя их новым и нужным функционалом.