По итогам 2015 года Лаборатория Касперского привела неутешительную статистику: около 58% корпоративных ПК подвергались атакам вредоносных программ минимум один раз. И это только успешно отраженные. Из них треть (29%) подверглись атакам через интернет. Отмечалось, что в три раза чаще угрозам подвергаются не домашние компьютеры, а именно корпоративные, поэтому бизнес находится в опасности потери или уничтожения данных.
В 2017 ситуация не стала безопасней : вспомним хотя бы недавний переполох от печально известных вирусов Petya, WannaCry и BadRabbit. И все равно порядка 80% компаний не занимаются обновлением своей системы безопасности, а около 30% имеют явно видимые уязвимости.
Сетевая безопасность в теории и на деле
Не так давно пользователям интернета было достаточно простого файрволла. Однако времена изменились, и теперь требуется более серьезное решение – UTM-устройство, в котором объединен весь функционал, предназначенный для защиты корпоративных сетей от инвазии. Воспользовавшись системой комплексного управления угрозами, компания получит антивирус, сетевой экран, систему предотвращения угроз, защиту от спама и многое другое «в одном флаконе».
В отличие от классического способа, предполагающего покупку ряда отдельных устройств и их интеграцию в единую систему, это более экономичный и производительный вариант, стоящий фактически на трех китах:
- Многоуровневая защита в реальном времени.
- Универсальный фильтр, не пропускающий шпионские программы и вирусы.
- Защита от спама и нежелательного контента.
Такой подход избавляет от необходимости увеличивать траты на «железо», найм IT-специалистов, способных заставить работать всю эту систему корректно, и спасает от проблем с регулярным падением скорости трафика.
На практике для крупных и малых предприятий в приоритете будет разный функционал. Обращаясь к комплексным системам, небольшие организации надеются, прежде всего, решить проблему безопасного доступа в сеть для сотрудников и клиентов. Для корпоративных сетей среднего уровня сложности необходим устойчивый канал связи. Крупные компании озабочены сохранением секретов. Каждая задача в итоге имеет строго индивидуальное решение.
Практика крупных компаний
Например, для компании «Газпром» и подобных ей организаций, отдающих предпочтения российскому софту, это означает снижение рисков, возникающих при использовании иностранного ПО. Кроме того, эргономика диктует необходимость использования оборудования, стандартизированного под уже используемую аппаратную структуру.
Проблемы, с которыми сталкивается крупный бизнес, вызваны именно размерами организации. UTM здесь помогает в решении вопросов, связанных с огромным количеством сотрудников, большими объемами данных, передаваемых по внутренней сети, и необходимостью в манипулировании отдельными кластерами, имеющими доступ в интернет.
Функционал, востребованный крупным бизнесом:
- Расширенный контроль за работой пользователей ПК, их доступом в Сеть и к отдельным ресурсам.
- Защита внутренней сети от угроз, включающая фильтрацию URL и двухфакторную идентификацию пользователей.
- Фильтрация контента, передающегося по внутренней сети, управление Wi-Fi-сетями.
Еще один пример из нашей практики. В дирекции железнодорожных вокзалов компании «РЖД» (классический пример крупного бизнес-проекта с ограниченным трафиком) решение купировало ряд проблем с безопасностью, предотвращая утечку данных, а также спровоцировало прогнозируемое повышение эффективности труда в связи с установкой внутренних блокировок.
Для предприятий банковской сферы, по нашему опыту, особо важно обеспечение стабильного, скоростного и непрерывного интернет-трафика, что достигается благодаря возможности балансировать и перераспределять нагрузки. Важна также защита от утечки информации и контроль ее сохранности.
Торговые комплексы, в частности, коломенский «Рио» , также периодически подвергаются угрозе внешних атак на свою сеть. Однако чаще всего руководство моллов интересует возможность введения внутреннего контроля над сотрудниками, имеющими ограничения по работе с интернетом в зависимости от их обязанностей. Кроме того, интернет активно раздается по всей площади ТК, что увеличивает опасность нарушения периметра. И для успешного предотвращения подобных ситуаций UTM-решение предлагает использовать управление приложениями.
В настоящее время в торговом комплексе «Рио» активно применяются фильтры, разноуровневая блокировка и удаление программ и приложений, попавших в черный список. Основной результат в данном случае – повышение эффективности труда и экономия времени вследствие того, что сотрудники больше не отвлекаются на социальные сети и посторонние интернет-магазины.
Потребности сферы услуг
Кафе, рестораны и отели сталкиваются с необходимостью свободной раздачи Wi-Fi, являющейся на данный момент, согласно отзывам посетителей, одной из самых востребованных услуг. В ряду проблем, требующих немедленного решения, стоят: качественный доступ в интернет и соответствие законодательству РФ. Кроме того, отельные сети имеют некоторую специфику, связанную с повышенными нагрузками. Социальные сети, выкладка фото и видеоматериалов из отпуска и просто серфинг не должны вызывать сбоев и отключения всей системы.
Все эти проблемы купирует соответствующим образом настроенная UTM-система. В качестве решения предлагается введение идентификации устройств по SMS, фильтрация контента и трафика, разделение потоков, на которых сидят клиенты и сотрудники, по цензурным и возрастным показателям. Также обязательно устанавливается защита устройств, подключенных к сети.
Больницы, поликлиники и другие медицинские учреждения требуют унифицированного комплекса безопасности, управляемого из единого центра с учетом филиальной структуры. Российское UTM-решение приоритетно для подобных госучреждений в связи с политикой импортозамещения и соблюдения закона о защите персональных данных.
Выгоды UTM-решений
Главная очевидна: одно устройство заменяет сразу несколько, отлично выполняя функции каждого. Кроме того, подключить и настроить такое устройство на порядок проще, а работать с ним может кто угодно. Преимуществ у комплексного решения несколько:
- Финансовое. Приобретение по отдельности качественных защитных инструментов (система безопасности, антивирусный блок, VPN и прокси-сервер , межсетевой экран и пр.) – это в разы больше расходов на оборудование. Особенно, когда речь идет об импортных вариантах. UTM-устройства гораздо доступней, а качественные отечественные продукты тем более.
- Функциональное. Угрозы предотвращаются на уровне сетевого шлюза, что не прерывает рабочий процесс и не отражается на качестве трафика. Скорость стабильная и постоянная, чувствительные к этому приложения постоянно доступны и работают штатно.
- Простота и доступность. Система на основе UTM не просто быстро устанавливается, но и удобно управляется, что упрощает администрирование. А отечественные решения выполнены на русском языке, что позволяет легко разобраться в технической части без лишнего ковыряния в специфической терминологии.
- Централизованный мониторинг и управление. UTM-решение позволяет управлять удаленными сетями из единого центра без дополнительных расходов на оборудование и персонал.
В целом UTM-устройства становятся центральным элементом обеспечения ИБ любой компании с сетью от нескольких компьютеров до десятков тысяч точек доступа, эффективно предотвращая неприятности и помогая избежать процесса разгребания последствий заражений и взломов.
Однако следует учитывать, что UTM не решает всех проблем, так как не управляет конечными устройствами, беззащитными перед недобросовестными пользователями. Локальная вирусная угроза требует наличия антивирусных программ, помимо антивирусного шлюза, а для гарантированного предотвращения утечки информации необходима установка DLP-систем. Показательна в этом плане недавняя история с аэропортом Heathrow , где начато расследование после того, как на одной из улиц Лондона нашли флеш-накопитель с данными, связанными с обеспечением безопасности и проведения антитеррористических мероприятий в аэропорту.
Критерии выбора UTM-системы
Система должна соответствовать нескольким параметрам. Это максимальное удобство, надежность, легкость настройки, понятное управление, постоянная техподдержка от производителя и относительно невысокая стоимость. Помимо этого, имеется жесткое требование обязательной сертификации ФСТЭК (ФЗ-149, ФЗ-152, ФЗ-188). Оно распространяется на образовательные и госучреждения, бизнес, работающий с персональной информацией, учреждения здравоохранения, предприятия госсектора. За использование несертифицированных систем предусмотрены жесткие санкции: штраф до 50 тыс. рублей, в отдельных случаях – изъятие предмета правонарушения и приостановка деятельности до 90 суток.
Берегите себя и свои данные, используйте современные системы информационной безопасности и не забывайте ставить обновления вендоров.
В последнее время все большую популярность в мире приобретают так называемые UTM-устройства, объединяющие в одной аппаратной системе целый комплекс функций ИТ-безопасности. Чтобы лучше разобраться в этих продуктах и понять их преимущество по сравнению с обычными решениями, мы обратились к компании Rainbow Technologies. На наши вопросы отвечает Дeян Момчилович, руководитель отдела по работе с партнерами компании Rainbow.
Дeян Момчилович, руководитель отдела по работе с партнерами компании Rainbow
Алексей Доля: Вы не могли бы рассказать о UTM-продуктах (Unified Threat Management) в целом? Что это такое и для чего они используются?
Дeян Момчилович: В последнее время, говоря об информационной безопасности, СМИ все чаще используют новый термин - UTM-устройства. Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим ИТ-рынок. По их классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.
UTM-устройства используются для легкого, быстрого и эффективного построения системы безопасности сетевых ресурсов. Они пользуются особой популярностью у компаний, относящихся к SMB (Small and Medium Business) благодаря простоте использования и экономичности.
Чтобы называться полноценным UTM, устройство должно быть активным, интегрированным и многоуровневым. То есть, должно выполнять следующие три функции. Во-первых, обеспечивать многоуровневую защиту в сети. Во-вторых, выполнять функции антивирусного фильтра, системы предотвращения вторжений и защиты от шпионского ПО на уровне сетевого шлюза. В-третьих, защищать от небезопасных web-сайтов и спама. При этом каждая функция отвечает за определенные операции. Например, многоуровневая защита обеспечивает активный глубокий анализ потока данных и передает информацию о подозрительном трафике различным модулям устройства, которые занимаются обнаружением аномалий в трафике, анализом поведения хостов и сигнатурным сканированием файлов.
Отдельно стоит остановиться на защите от небезопасных web-сайтов и спама. Бесконтрольное перемещение сотрудников компании по Интернету повышает вероятность заражения шпионским ПО, троянскими программами и многими вирусами. Вдобавок, снижается производительность труда, уменьшается пропускная способность сети и может даже случиться, что компании придется отвечать перед законом за определенные нарушения. Служба URL-фильтрации позволяет наложить запрет на сайты с небезопасным или нежелательным содержимым. Можно упорядочить доступ к Web-ресурсам в зависимости от дня недели, потребностей подразделения или индивидуальных запросов пользователя. Что касается спама, то он может полностью заполнить почтовый сервер, перегрузить сетевые ресурсы и отрицательно сказаться на производительности труда сотрудников. Он также может являться носителем различных видов опасных атак, включая вирусы, социальную инженерию или фишинг. При использовании выделенной службы блокирования спама, можно эффективно остановить лишний трафик на сетевом шлюзе, прежде чем он попадет в сеть и нанесет вред.
Алексей Доля: В чем проявляется преимущество UTM-решений по сравнению с другими продуктами ИТ-безопасности?
Дeян Момчилович: Можно приобрести и установить отдельные устройства, такие как: межсетевой экран, антивирусный шлюз, систему предотвращения вторжений и т.д. А можно использовать одно устройство, выполняющее все эти функции. По сравнению с использованием отдельных систем, работа с комплексом UTM имеет целый ряд преимуществ. Во-первых, финансовая выгода. Интегрированные системы, в отличие от решений многоуровневой безопасности, которые строятся с помощью множества отдельных устройств, используют намного меньше оборудования. Это отражается на итоговой стоимости. Полностью интегрированное решение может включать в себя межсетевой экран, VPN, многоуровневую систему безопасности, антивирусный фильтр, системы предотвращения вторжений и защиты от шпионского ПО, фильтр URL и системы централизованного мониторинга и управления.
Во-вторых, остановка атак на сетевом шлюзе без прерывания рабочего процесса. Многоуровневый подход позволяет избежать катастрофы, блокируя сетевые атаки там, где они пытаются проникнуть в сеть. Так как уровни осуществляют защиту совместно, то проверенный по определенному критерию трафик повторно, на других уровнях, по тому же критерию еще раз не проверяется. Поэтому скорость трафика не снижается и чувствительные к скорости приложения, остаются доступными для работы.
В-третьих, простота установки и использования. Интегрированные системы с централизованным управлением позволяют легко настраивать, а также управлять устройствами и службами. Это значительно упрощает работу администраторов и снижает операционные расходы. Возможность с легкостью установить и развернуть системы, используя помощь "мастеров", оптимальные настройки "по умолчанию" и другие автоматизированные средства, снимают многие технические барьеры на пути быстрого создания системы безопасности сети.
Есть и еще одно немаловажное отличие UTM-систем от традиционных решений. Дело в том, что решения, основанные на сигнатурах, в течение многих лет являются основой арсенала решений безопасности и используют базу данных известных шаблонов для обнаружения и блокирования вредоносного трафика прежде, чем он попадет внутрь сети. Эти системы обеспечивают защиту против таких угроз и нарушений политик безопасности как: троянские программы, переполнение буфера, случайное исполнение вредоносного SQL кода, службы мгновенных сообщений и общения типа "точка-точка" (используемого в Napster, Gnutella и Kazaa).
В то же время, после выявления и идентификации предполагаемой угрозы до создания соответствующих файлов сигнатур, доступных для скачивания, может пройти от нескольких часов до нескольких недель. Этот "лаг" создает окно уязвимости (рис.1), в течение которого сети открыты для атаки:
Рис. 1. "Жизненный цикл атаки и окно уязвимости"
В UTM-устройствах многоуровневая система безопасности работает совместно с решениями, основанными на сигнатурах и другими службами, обеспечивая более эффективную защиту от сложных угроз, которые появляются с пугающей частотой.
Алексей Доля: Какие UTM-решения представляет ваша компания? Какие функции они выполняют?
Дeян Момчилович: Rainbow Technologies является дистрибьютором американской компании WatchGuard на территории России и стран СНГ. По данным всемирно известного аналитического агентства IDC, WatchGuard является лидером по продажам UTM-устройств для SMB в США и Европе (данные 2005 года). На наш рынок поставляется линейка UTM-устройств Firebox X, рассчитанная как на крупные корпорации, так и на небольшие фирмы.
Firebox X Edge - это межсетевой экран и конечное VPN-устройство для малого бизнеса. Он предназначен для удаленных друг от друга офисов и мобильных пользователей и защищает корпоративные ресурсы от "неумышленных угроз" со стороны удаленных пользователей, возникающих при доступе в сеть.
Firebox X Edge
Firebox X Core от WatchGuard - флагманская линейка UTM-устройств, обеспечивающая Zero-Day Protection - защиту от новых и неизвестных угроз еще до их возникновения и обнаружения. Попадающий в сеть трафик проверяется на множестве уровней, благодаря чему активно блокируются: вирусы, черви, шпионское ПО, трояны и смешанные угрозы без использования сигнатур.
Firebox X Peak представляет собой UTM - защиту для более разветвленных сетей, обеспечивая пропускную способность межсетевого экрана вплоть до 1 Гб.
Алексей Доля: Чем ваши UTM-продукты отличаются от UTM-продуктов конкурентов?
Дeян Момчилович: Сегодня в России представлены UTM-устройства только иностранных производителей. Причем, большинство из них, представляя свои устройства и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Наряду с неоспоримыми преимуществами, о которых говорилось ранее, данный подход обладает и серьезными недостатками:
Отдельные устройства при использовании общей платформы потребляют большое количество вычислительных ресурсов, что приводит к повышенным требованиям к аппаратной составляющей подобного решения, тем самым, увеличивая общую стоимость.
Являясь формально объединенными в одной коробке, отдельные устройства являются, по существу, независимыми друг от друга и не обмениваются между собой результатами анализа трафика, проходящего через них. Это приводит к тому, что трафик, поступающий в сеть, или, исходящий из сети, должен проходить через все устройства, часто подвергаясь дублирующим проверкам. В результате, скорость прохождения трафика через устройство резко падает.
Благодаря отсутствию взаимодействия между отдельными функциональными блоками устройства, отмеченному выше, увеличивается вероятность попадания в сеть потенциально опасного трафика.
В основе UTM-решений компании WatchGuard лежит архитектура Intelligent Layered Security (ILS), которая позволяет избавиться от перечисленных недостатков, присущих другим UTM-решениям. Рассмотрим подробнее принципы работы ILS. Эта архитектура является сердцевиной линейки UTM-устройств Firebox X компании WatchGuard и обеспечивает эффективную защиту для развивающихся предприятий. Используя динамическое взаимодействие между уровнями, ILS обеспечивает безопасность при оптимальной производительности устройства.
Архитектура ILS состоит из шести слоев защиты (рис.2), взаимодействующих друг с другом. Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный попускается внутрь сети. Это позволяет противостоять как известным, так и неизвестным атакам, обеспечивая максимальную защиту при минимальных затратах.
Рис. 2. "Архитектура Intelligent Layered Security и UTM"
Каждый слой защиты выполняет следующие функции:
1. Службы внешней безопасности взаимодействуют с внутренней защитой сети (антивирусы на рабочих станциях и пр.).
2. Служба проверки целостности данных проверяет целостность пакетов, проходящих через устройство и соответствие этих пакетов протоколам передачи.
3. Служба работы с VPN проверяет трафик на принадлежность к зашифрованным внешним соединениям организации.
4. Межсетевой экран с динамическим анализом состояния ограничивает трафик к источникам и пунктам назначения в соответствии с настроенной политикой безопасности.
5. Служба глубокого анализа приложений отсекает опасные файлы по шаблонам или по типам файлов, блокирует опасные команды, преобразует данные для того, чтобы избежать утечки критичных данных.
6. Служба проверки содержимого использует технологии, основанные на применении сигнатур, блокировании спама и фильтрации URL.
Все эти уровни защиты активно взаимодействуют друг с другом, передавая данные, полученные при анализе трафика в одном слое всем другим слоям. Что позволяет:
1. Уменьшить использование вычислительных ресурсов UTM-устройства, и, уменьшив требования к аппаратной части, снизить общую стоимость.
2. Добиться минимального замедления прохождения трафика через UTM-устройство, благодаря проведению не всех, а только необходимых проверок.
3. Противостоять не только известным угрозам, но и обеспечивать защиту от новых, еще не выявленных атак.
Алексей Доля: Какую техническую поддержку получают пользователи ваших UTM-продуктов?
Дeян Момчилович: Основой всех решений WatchGuard является непрерывная поддержка защищенности периметра сети на самом высоком уровне, что достигается при помощи электронного сервиса LiveSecurity. Подписчикам регулярно предоставляются обновления ПО, техническая поддержка, рекомендации экспертов, меры по предупреждению возможного ущерба от новых способов атак и пр. Все продукты линейки Firebox X обеспечены бесплатной 90-дневной подпиской на службу LiveSecurity, которая, на сегодняшний день, является наиболее полной в ИТ-индустрии системой дистанционной технической поддержки и услуг.
LiveSecurity состоит из нескольких модулей. Они, в свою очередь, включают в себя: техническую поддержку в режиме реального времени, поддержку ПО и его обновление, тренинги и руководства, а также специальные сообщения LiveSecurity Broadcasts (оперативное оповещение об угрозах и методах борьбы с ними).
Firebox X
Алексей Доля: Сколько стоят ваши UTM-решения и во сколько ежегодно обходится их эксплуатация? Где можно приобрести ваши продукты?
Дeян Момчилович: Мы не работаем с конечными пользователями, так как не имеем структуры розничных продаж - это наша торговая политика. Приобрести UTM-устройства WatchGuard Firebox X можно у наших партнеров - системных интеграторов или реселлеров, список которых есть на сайте http://www.rainbow.msk.ru . У них же можно получить информацию и о розничной стоимости этих устройств.
Алексей Доля: Каковы Ваши прогнозы по продажам UTM-устройств в нашей стране?
Дeян Момчилович: Во всем мире продажи UTM-устройств растут. И наш рынок - не исключение. По сравнению с 2002 годом, сегмент UTM-устройств к 2005 году вырос на 160% (по данным исследования мирового рынка агентством IDC). Эта цифра говорит об очень стремительном росте, и, несмотря на то, что российский рынок значительно "запаздывает" от США и Европы, мы также прогнозируем значительное увеличение популярности UTM-устройств и на нем уже в самое ближайшее время.
Алексей Доля: Спасибо, что уделили нам время и ответили на все вопросы. Удачи и всего хорошего!
Интернет Контроль Сервер позволяет решать более 80 задач, разворачивать дополнительные сетевые сервисы. Однако если приоритетной для Вас является гарантия безопасности локальной сети и устойчивость перед различными киберугрозами, Вы можете использовать в ИКС только инструменты защиты данных.
Корпоративная сеть должна быть защищена от вторжения, уничтожения или несанкционированного изменения, при этом в рабочее время быть доступна для оперативного получения данных. Абсолютную надежность локальной сети может гарантировать только комплексный подход при формировании системы информационной безопасности. ИКС КУБ осуществляет защиту:
- Компьютерных сетей или отдельных узлов от несанкционированного доступа (межсетевой экран).
- Локальной сети от проникновения вредоносных файлов. В Интернет Контроль Сервер интегрированы антивирусы ClamAv (бесплатный модуль), Kaspersky Anti-Virus, Dr.Web (коммерческие модули).
- Конфиденциальной информации от утечек (модуль DLP).
- Корпоративной сети от ботнетов.
- Почтового сервера от спама, фишинг-атак (модуль Kaspersky Anti-Spam).
- Телефонии (сервис fail2ban).
ИКС КУБ – программно-аппаратное решение, и это позволяет не только исключить возможность затрат на дополнительное ПО и оборудование, но и значительно повысить степень защищенности сети.
Управление и мониторинг
ИКС КУБ с возможностью централизованного управления позволяет значительно облегчить работу системного администратора в многофилиальных организациях, где структурные подразделения находятся в физически удаленных офисах. Решение выполняет все требования, предъявляемые в момент настройки системы, рабочего процесса и восстановления после сбоя, позволяя специалисту выполнить все настройки из одного интерфейса.
Журналы. Отчеты
Данный функционал особенно важен для системных администраторов, так как позволяет отслеживать активность пользователей за любой необходимый период.
Стандартные отчеты в ИКС:
- общий сводный отчет;
- по активности пользователей;
- потребление по объему трафика;
- топ 5 IP-адресов и доменов.
Также есть возможность просмотра статистики пользователей, сгруппированной по категориям трафика.
Конструктор отчетов позволяет собирать данные по критериям, которые не представлены в стандартных отчетах (по mime типам, протоколам, интерфейсам, доменам, группам адресов, источникам трафика, времени).
Системный журнал в ИКС отображает сообщения о действиях пользователей, изменения в статусах сервисов и ошибки системы. Чтоб быть в курсе происходящего и оперативно реагировать, администратор системы может выбрать интересующий тип событий, настроить уведомления на e-mail, в jabber или icq и удаленно управлять с помощью дополнительных команд.
Контроль доступа и учет трафика
Сегодня практически любая локальная сеть подключена к интернету, поэтому, во избежание нецелевого расходования трафика в рабочее время, необходимо контролировать доступ сотрудников во внешнюю сеть.
ИКС КУБ позволит:
- назначать разные права доступа для отдельных сотрудников и групп пользователей;
- ограничивать полосы пропускания для отдельных сайтов, квотировать трафик по времени и пользователям (к примеру, разрешать использование сети в личных целях в нерабочие часы);
- выбирать способ авторизации пользователей. ИКС КУБ поддерживает авторизацию по IP, MAC, логину/паролю, через контроллер домена, VPN-соединение, программу-агент;
- осуществлять фильтрацию трафика по встроенным и интегрированным категориям, спискам Минюста и Роскомнадзора;
- вести системный журнал, составлять отчеты активности пользователей (имеются встроенные стандартизированные + конструктор отчетов).
Данные возможности позволят контролировать сетевую активность каждого пользователя, зарегистрированного в сети.
Система обнаружения и защиты от вторжений (IDS/IPS)
В ИКС используется open source IPS/IDS система – Suricata (многозадачная, высокопроизводительная, поддерживает использование GPU в режиме IDS, позволяет обрабатывать трафик до 10Gbit). ИКС КУБ позволяет выявлять факты неавторизованного доступа в сеть или чрезмерной подозрительной сетевой активности пользователей.
Система предотвращения вторжений в ИКС работает через обеспечение доступности к внутренним и опубликованным сервисам. Интернет Контроль Сервер фиксирует и сохраняет информацию о подозрительной активности, блокирует ботнеты, Dos-атаки,а также TOR, анонимайзеры, p2p и торрент-клиенты.
Сетевой поток отслеживается в реальном времени, при обнаружении опасности применяются различные меры: сброс соединения, логирование выявленных сигнатур или пропуск трафика. IPS дефрагментирует пакеты, переупорядочивает пакеты TCP для защиты от пакетов с измененными SEQ и ACK номерами.
Безопасный ВПН
VPN в ИКС КУБ – виртуальная частная сеть, позволяющая объединить в единую логическую сеть пользователей, которые физически удалены друг от друга (фрилансеры, структурные подразделения в разных офисах, партнеры, сотрудники, работающие удаленно). Несмотря на то, что передача данных осуществляется через внешнюю публичную сеть, безопасность подключения и передачи данных обеспечивается за счет логической сети при помощи сверхшифрования.
ИКС КУБ поддерживает следующие типы удаленного соединения: PPTP, L2TP, PPoE, GRE/IPIP, OpenVPN.
Устойчивое и безопасное VPN-соединение в Интернет Контроль Сервере позволяет решать срочные вопросы в режиме реального времени даже в нерабочее время.
Есть мнение, что UTM и NGFW - одно и тоже. Хочу развеять это мнение.
Что было сначала?
Правильно, сначала были UTM (Unified Threat Management). Это система все-в-одном. Кто-то умный догадался поставить на один сервер сразу несколько движков защиты. Безопасники получили возможность из одной коробки получать сразу и управление, и работу нескольких движков безопасности. Теперь вместе заработали межсетевой экран, VPN, IPS, антивирус, вебфильтр и антиспам. Кто-то еще навешивает другие движки, например, DLP. Сейчас обязательным является движок расшифрования SSL и SSH и движок разбора и блокировки приложений на всех 7 уровнях модели OSI ISO. Как правило движки берутся от разных вендоров или даже бесплатные, например, IPS от SNORT, антивирус clamav или межсетевой экран iptables. Поскольку межсетевой экран еще является роутером или свитчом для трафика, то движок динамической маршрутизации также чаще всего какого-то производителя. По мере роста спроса появились крупные игроки на рынке, которые смогли скупить несколько хороших разработок для работы нужного движка и соединить их работу внутри одного UTM устройства. Например, Check Point купил IPS у компании NFR, Cisco купила IPS у Sourcefire. Популярные марки видно в квадрате Gartner по UTM. В 2017 году лидерами UTM по мнению Gartner являются Check Point, Fortinet и Sophos.
Минусы архитектуры UTM. Почему появились NGFW?
Рис 1. Пример архитектуры работы UTM.
Первой архитектурной проблемой UTM
являлось то, что все движки внутри по очереди передавали друг другу сетевые пакеты и ждали когда предыдущий движок закончит работу, чтобы начать свою. В результате чем больше функций встраивает вендор в свое устройство, тем медленнее оно работает. В результате пользователям таких устройств приходится отключать IPS и антивирус или часть их сигнатур, чтобы трафик вообще ходил. То есть вроде платили как за устройство защиты, а пользуются только как роутером. Нужно было что-то придумать, чтобы движки защиты не ждали друг друга и работали параллельно.
Новым ходом производителей NGFW стало то, что в них использовали специализированные чипы, которые одновременно смотрят на тот же самый трафик. Это стало возможным, поскольку каждый процессор стал отвечать за свою функцию: в один прошиты сигнатуры IPS, в другой сигнатуры антивируса, в третий сигнатуры URL. Можно включать все сигнатуры во всех движках - трафик находится под полной защитой без снижения производительности. Программируемые чипы такого типа называются ПЛИС (программируемая логическая интегральная схема) или в английской литературе FPGA. Их отличие от ASIC в том, что они могут перепрограммироваться на ходу и выполнять новые функции, например, проверку новых сигнатур, после обновления микрокода или любые другие функции. Этим NGFW и пользуется - все обновления прошиваются непосредственно в чипы FPGA.
Рис 2. Пример архитектуры работы Palo Alto Networks NGFW.
Второй архитектурной проблемой UTM стало то, что все файловые операции требовали работы жесткого диска. Какая скорость чтения с жесткого диска? 100 Мегабайт в секунду. А что будет делать UTM, если у вас в ЦОД 10Гбит скорости? Если 300 человек в вашей компании решат скачать папочку с файлами по сети Микрософт (протокол SMB), то что сделает UTM? Плохие UTM просто загрузятся на 100% и перестанут работать. В продвинутых UTM на этот случай встроены различные механизмы автоотключения работы движков защиты: antivirus-bypass, ips-bypass и другие, которые выключают функции безопасности, когда загрузка аппаратной части превысит ее возможности. А если нужно не просто сохранить файл, но еще и распаковать архив? Скорость работы снижается еще. Поэтому UTM в основном применяются в маленьких компаниях, где скорости были неважны, либо где безопасность - опция.
Практика показывает, что как только скорость сети возрастает, то в UTM приходится выключать все движки кроме маршрутизации и пакетного межсетевого экрана, либо просто ставить обычный межсетевой экран. То есть давно уже стояла задача как-то ускорить работу файлового антивируса.
Новым архитектурным сдвигом у первого производителя NGFW, появившегося в 2007 году, стало то, что файлы перестали сохраняться на диск, то есть весь разбор трафика, раскодирование и сборка файлов для проверки антивирусом стали производиться в памяти. Это сильно повысило производительность устройств защиты и отвязало их от производительности жестких дисков. Скорости сетей растут быстрее скоростей жестких дисков. Только NGFW спасут безопасников. Сейчас по версии компании Gartner есть два лидера в NGFW: Palo Alto Networks и Check Point.
А как работают с приложениями 7 уровня в UTM и NGFW?
С появлением NGFW у заказчиков появилась новая возможность - определение приложений 7 уровня. Сетевые инженеры изучают семиуровневую модель сетевых взаимодействий OSI ISO. На 4 уровне этой модели работают протоколы TCP и UDP, что в последние 20 лет работы сетей IP считалось достаточно для анализа трафика и для управлением трафиком. То есть обычный межсетевой экран просто показывает IP адреса и порты. А что делается на следующих 5-7 уровнях? Межсетевой экран нового поколения видит все уровни абстракции и показывает что за приложение какой файл передало. Это сильно повышает понимание сетевых взаимодействий ИТ специалистами и усиливает безопасность, поскольку вскрывает туннелирование внутри открытых приложений и позволяет блокировать приложение, а не просто порт. Например, как блокировать skype или bittorent обычным межсетевым экраном старого поколения? Да, никак.
Производители UTM в итоге добавили движок определения приложений. Однако в них два движка управления трафиком - портовый 4 на уровне TCP, UDP и ICMP и на уровне поиска контента приложений в трафике типа teamviewer, tor, skype. Получилось, что у UTM несколько политик: одна управляет портами, вторая управляет приложениями. И это создает очень много трудностей, в результате политикой управления приложениями никто не пользуется.
На тему визуализации на уровне приложений прилагаю презентацию. Также это затрагивает тему Shadow IT. Но про это позже..
Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.
Российский рынок UTM-устройств представлен только иностранными производителями. Причем, некоторые компании, представляя свои решения и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Подобные устройства нельзя считать полноценной UTM-системой.
Аббревиатура UTM обозначает Unified Threat Management, что дословно можно перевести на русский язык примерно как: объединенное управление угрозами. В данной статье мы рассмотрим, какие же именно функции должно выполнять устройство, чтобы считаться полноценным UTM, каковы преимущества использования таких систем и от каких видов угроз они могут защитить.
