Расширение защиты в NGFW и UTM

 Руслан Рахметов, Security Vision 

Компании защищают свой внутренний периметр различными средствами, но первое, что приходит на ум для защиты от сетевых угроз – FireWall, который мы уже упоминали в ходе обзора ИБ‑решений. В текущей статье мы разберем примеры применения, функциональные возможности и отличия между классическим брандмауэром, NGFW и UTM.

Если представить себе развитие защиты организации как развитие персонажа в RPG, то конкретное средство может быть специальным навыком (perk, skill), предметом в инвентаре или доспехом, который можно собрать по частям для обеспечения комплексной защиты.

Классический FireWall, FW

FW (FireWall) – это сетевое устройство или программное обеспечение, которое используется для контроля и фильтрации трафика. Основная цель его – предотвращение несанкционированного доступа к защищаемым данным снаружи и ограничение отправки пакетов данных в обратную сторону.

С одной стороны, он может выполнять функции, схожие с VPN-сервисами, скрывая IP‑адрес и порты от внешнего мира. В таком режиме данное средство защиты работает как маскировка, специальный элемент брони, повещающий скрытность нашего героя-периметр компании. Скрытность могла бы быть идеальной (тогда персонаж будет скрыт от своих врагов, когда это нужно). Но, как и в настольных и компьютерных играх, в реальной жизни такой уровень достигнуть сложно, поскольку у хакеров есть способности и инструменты по выявлению реальных адресов и проникновению в сеть за счёт различных уловок.

С другой стороны, FW может разрешать или блокировать сетевой трафик в зависимости от заранее определённых правил и политик безопасности (используя, например, списки приложений, пытающихся получить доступ в интернет или черные/белые списки внешних IP-адресов). В режиме блокировки по заранее определённым правилам FW похож на естественные укрытия, безопасные зоны на поле сражения, где враг физически не может до вас дотянуться.

Классические брандмауэры обычно работают на транспортном (TCP/IP) или сетевом (IP) уровне сети, могут быть физическими устройствами или программными приложениями, установленными на серверах или маршрутизаторах. Средство защиты сетевого трафика в базовом виде реализовано и нативно внедрено во многих операционных системах, например, UFW (Uncomplicated FireWall) в Ubuntu (аналогичные сервисы существуют и в других Linux дистрибутивах) или брандмауэре Microsoft Defender.

Универсальный шлюз, UTM

UTM (Unified Threat Management) – это шлюз, сочетающий в себе функции классического FW и других систем безопасности. При интеграции в единый комплекс их количество и возможности могут варьироваться, но чаще всего UTM включает в себя:

· FW;

· IPS – средство предотвращения вторжений;

· DLP – средство анализа трафика на предмет наличия чувствительной информации;

· Anti-SPAM – средство защиты почтового трафика от нежелательных сообщений;

· VPN – средство виртуализации сети и обеспечения безопасных тоннелей передачи данных.

Компоненты UTM изначально развивались как самостоятельные решения. Сравнить такой подход можно с применением нескольких элементов доспехов, прикрывающих части тела компании в виде персонажа ролевой игры. Собрать такую броню можно, но стоит учитывать, что отдельные её кусочки должны быть сочетаемы. За подобную интеграцию отвечает ядро каждой UTM‑системы, поэтому применение несоответствующих элементов возможно при раздельном применении нескольких UTM с подходящими элементами. При этом для стабильности обычно используется единственное решение с его набором ограничений или выстраивается экосистема за счёт коннекторов, например, с применением SOAR-платформы.

В силу своей многозадачности, последовательной обработки данных и совокупных требований к железу такие системы Gartner считает подходящими для компаний с численностью сотрудников от 100 до 1000. Для ускорения обработки и защиты рекомендуется использовать средства нового поколения, о которых мы расскажем далее.

FireWall нового поколения, NGFW

NGFW (Next Generation Firewall) - это межсетевой экран нового поколения, который сочетает в себе сразу несколько возможностей защиты, которые функционируют параллельно. В дополнение к комбинации средств защиты из предыдущей части статьи NGFW чаще включают в себя:

· AV – средство антивирусной защиты;

· Sandbox – средство проверки подозрительных объектов в изолированной песочнице.

NGFW могут обеспечивать также контроль трафика на уровне приложений. Мы уже разбирали такой подход защиты веб-приложений при помощи Web Application FireWall (WAF) в отдельной записи блога и аудио подкасте.

Как было отмечено ранее, ключевое отличие NGFW – параллельное исполнение задач, т.е. снижение нагрузки и времени, за которое обрабатывается подозрение на инцидент. Если применить такое правило для нашего персонажа, файрволл нового поколения – это не комплект из отдельных предметов, а редкий артефакт или спутник, который защищает вас и не тратит драгоценные очки действий, работая полностью независимо.

Аналитики компании Gartner определяют NGFW как решение, эффективное для компаний большого масштаба или под действием целенаправленных массовых атак.

Пример, как может работать комплексная защита

Представим себе атаку хитрого, но уже отлично изученного монстра – фишингового письма.

У такого письма может быть высокий уровень харизмы и привлекательности (текст, заставляющий нажать заветную кнопку, ответить на предложение и передать свои данные прямо в руки врагу). С харизмой поможет работать не только ваша внимательность (например, используйте советы из статьи про кибергигиену), но и уже преднастроенные фильтры anti-SPAM движка, куда попадают миллионы писем из тех 3 000 000 000, которые отправляются ежедневно. В случае успеха письмо может быть ещё на этапе отправки злоумышленником или до попадания в вашу инфраструктуру.

Но если что-то пошло не так, к защите подключаются другие средства защиты:

1. FW – брандмауэр

За счёт преднастроенных списков IP-адресов, с которых может быть получено вредоносное письмо, этот инструмент может отразить урон. Считайте это мудростью вашего персонажа, который заранее продумал типы урона и источники угроза, к которым будет действовать иммунитет.

Похожим образом защиту можно выстроить с применением внешних сервисов аналитики (URLScan, WhoIsXML и др.), которые можно интегрировать в ваш процесс обработки инцидентов при помощи SOAR: отдельные элементы письма и ссылки направляются по API во внешнюю систему, где проходят проверку и возвращают результат в виде описания и потенциального рейтинга угрозы.

2. AV – антивирус

Антивирусный модуль сможет проверить красочные картинки письма и другие вложения на возможные вредоносы. Считайте это проверкой ловкости, когда вы можете парировать атаку и избежать урона.

Как и в предыдущем пункте, если антивирусный движок не входит в используемое решение или вы хотите подключить дополнительные сервисы (VirusTotal, например) – это можно сделать и за счёт коннектора к 3^rd party.

3. Sandbox – песочница

Существуют и способы проверки файлов в безопасной изолированной среде, которую называют песочницей. В случае применения такого модуля потенциальный зловред, конечно, запустится, но не нанесёт вреда. Считайте это применением заклинания иллюзии, когда на самом деле атакует не вашего персонажа, а значит и урона нанести не сможет.

Отдельного описания заслуживает и такой вариант песочницы, как веб изоляция: когда письмо на самом деле открывается в отдельном окне (как картинка, например) и лишается своих кликабельных ссылок.

4. IPS – предотвращение вторжений

Такое средство не просто мониторит возможные атаки, но и запускает процессы защиты в случае подозрительных действий. Считайте это вашим контрударом или блокированием урона щитом.

Если же вы все-таки по ошибке, неосведомлённости или недостаточном уровне защиты решили ответить на сообщение, может подключиться дополнительное средство анализа, входящее в комплект:

5. DLP – защита от утечек

Данное средство анализа проверит уже исходящий трафик на предмет наличия персональных данных или другой важной для вас или компании информации, заблокирует отправку по необходимости. Тогда злоумышленник все равно не сможет получить от вас полезные ему сведения. Считайте это возможностью управлять диалогом с NPC-нарушителем, когда вы можете отменить неверное решение и успешно закрыть текущий квест.

Таким образом, можно применить различные средства защиты, которые могут существовать отдельно, входить в состав единого шлюза UTM или NGFW, где все действия и проверки выполнятся автоматически и параллельно.