Технологические партнёрства, или Как получить максимум от NGFW

BIS Journal №4(55)2024

30 октября, 2024

Технологические партнёрства, или Как получить максимум от NGFW

Спустя два года после ухода зарубежных ИБ-вендоров из России отечественные производители смогли заместить иностранные решения во многих областях. Но в ряде сегментов, например, Межсетевых экранов нового поколения (NGFW), ещё есть над чем работать.

Сегодня NGFW особенно актуальны, поскольку защищают ИТ-инфраструктуры крупных организаций, относящихся к государствообразующим. Спрос на NGFW поставил российских ИБ-вендоров перед сложным выбором:

  • Развивать продукты для задач вне NGFW. Недостаток: оттягивание ресурсов для развития NGFW — востребованного в текущих реалиях продукта.
  • Концентрация только на NGFW. Недостаток: слабая зрелость решения для задач крупных заказчиков.

Также выяснилось, что каждый вендор хорош в отдельных сегментах кибербезопасности: у одного NGFW работает стабильно, но не очень функционален, у другого — в решении есть множество защитных механизмов, но нет централизованного управления. А ведь именно комплексность и сбалансированность — одно из главных преимуществ NGFW как продукта.

В итоге оптимальным решением оказалось создание технологических партнёрств с различными ИБ-компаниями. Так, вендоры могут объединить лучшие наработки в рамках одного продукта, а крупные заказчики получают NGFW с необходимым функционалом.

 

КИБЕРАЛЬЯНС

Следуя этой логике, «Код Безопасности» создал КиберАльянс — комплекс технологических партнёрств с вендорами-лидерами разных ИБ-сегментов. Ядром выступает NGFW «Континент 4» от «Кода Безопасности», вокруг которого формируются контуры защиты.

Ядром КиберАльянса выступает NGFW «Континент 4» от «Кода Безопасности», вокруг которого формируются контуры защиты

 

На примере «Континент 4» мы разберём, в каких именно направлениях вендоры NGFW могли бы наращивать совместную экспертизу. В «Коде Безопасности» мы видим три ключевых сегмента:

  1. Защищённый удалённый доступ
  2. Интеграция с инфраструктурными сервисами
  3. Расширенная безопасность

 

ЗАЩИЩЁННЫЙ УДАЛЁННЫЙ ДОСТУП

В этой сфере существует две основные проблемы. Первая: для подключения к корпоративным ресурсам удалённые сотрудники используют личные устройства, которые порой слабо защищены. Вторая — использование незащищённых каналов связи. Без шифрования хакеры могут перехватить трафик, а ведь в нём передаются критичные данные.

Чтобы организовать безопасный удалённый доступ, необходимо следовать трём правилам:

  • шифровать трафик;
  • контролировать трафик от удалённых пользователей механизмами безопасности;
  • безопасно аутентифицировать пользователей.

Выполнить первый пункт на NGFW легко — с помощью организации VPN-туннеля. А вот контроль трафика и аутентификация доступны не во всех продуктов, но это можно решить несколькими способами.

 

Разграничение доступа

Необходимо определить политики для VPN: какой пользователь на какой корпоративный ресурс, по каким протоколам может подключаться. Притом что корпоративные ресурсы бывают разные: к одним нужен постоянный доступ, к другим — только в определённое время. «Код Безопасности» видит три подхода организации политик удалённого доступа:

  1. Стандартный доступ пользователей к корпоративным ресурсам.
  2. Доступ пользователей к критически важным ресурсам предприятия.
  3. Фильтрация всего трафика удалённых пользователей.

Выбор подхода зависит от конкретных сценариев. При доступе к критически важным ресурсам можно запретить все незащищённые соединения от удалённого пользователя, в другом сценарии — фильтровать весь трафик удалённого пользователя на корпоративном NGFW.

 

Контроль состояния

Если ПК пользователя заражён, то вредонос может попасть в защищаемую сеть. Этого можно избежать, если контролировать состояние ПК сотрудника:

  • проверка последнего обновления ОС;
  • чёрный и белый списки установленного ПО;
  • обновление антивирусных баз;
  • проверка запущенных служб.

Например, можно отключать от VPN пользователей, у которых в процессе подключения «упал» антивирус.

 

Механизмы аутентификации

Статические пароли — самый простой способ аутентификации, но не самый безопасный, поскольку пароли уязвимы перед хакерами. Для сегментов ИТ-инфраструктуры используется три варианта аутентификации:

  1. Логин/пароль
  2. Сертификаты
  3. Многофакторная аутентификация

Крупные корпорации «смешивают» варианты вместе, наиболее часто встречаются две комбинации: логин/пароль + одноразовый код (OTP) или push-уведомление и сертификат + токен.

Примеры систем для организации защищённого удалённого доступа:

Многофакторная аутентификация

Континент ZTN-клиент + Рутокен ЭЦП = сертификат + токен

ZTN-клиент + Multifactor = логин/пароль + push-уведомление

ZTN-клиент + AvanpostMFA+ = логин/пароль + push-уведомление
 

Клиенты для удалённого доступа

VPN-клиент Континент ZTN-клиент устанавливается на ОС: Windows, Linux, MacOS, iOS, Android, «Аврора»

 

Комплаенс-контроль

Континент ZTN-клиент — встроенный комплаенс-контроль

«САКУРА» — централизованный комплаенс-контроль

 

ИНТЕГРАЦИИ С ИНФРАСТРУКТУРНЫМИ СЕРВИСАМИ

Крупным предприятиям сложно организовать защиту ядра сети из-за трёх факторов: производительность, аудит конфигураций, сеть виртуализации.

 

Производительность NGFW

Внутри сети надо сегментировать десятки и сотни гигабит, но NGFW не всегда имеет нужную пропускную способность. Однако это решается через горизонтальное масштабирование, то есть интеграцию с внешними балансировщиками. Например, подключаем к балансировщикам два NGFW со скоростью обработки 10 Гбит/сек каждый и получаем 20 Гбит/сек. Если нужно увеличить цифру, подключаем дополнительный NGFW.

Недавно эксперты «Кода Безопасности» протестировали ферму из 16 NGFW «Континент 4» и двух брокеров сетевых пакетов DSIntegrityNG. Итоговый результат фильтрации трафика — 400 Гбит/сек.

 

Аудит конфигураций и политики безопасности

В крупных предприятиях необходимо контролировать сотни сетевых устройств. В случае с NGFW этот контроль заключается в двух задачах: аудит конфигурации устройств и централизованное внесение изменений в конфигурацию.

На NGFW могут быть настроены тысячи правил межсетевого экранирования, которые устаревают, конфликтуют между собой и так далее. Всё это влияет на безопасность и производительность. Проблемы можно увидеть и решить через выделенные системы контроля конфигураций, например российские EFROSDO и Netopia.

 

Защита сети виртуализации

Виртуализация имеет свою сеть, которая связывает виртуальные машины (ВМ) и физические серверы. Трафик может «ходить» между ВМ (паттерн запад — восток) и от ВМ до физических или облачных ресурсов (паттерн север — юг).

Межсетевые экраны уровня гипервизора умеют защищать сети виртуализации. Они используют политики безопасности для конкретных ВМ. В случае с фильтрацией трафика по паттерну запад — восток пропадает необходимость передавать этот трафик на физические межсетевые экраны. Но для межсетевых экранов уровня гипервизора необходим функционал NGFW: контроль приложений, IDS/IPS, индикаторы компрометации.

Такие устройства называются распределённые FW/NGFW. В «Коде Безопасности» это отдельный продукт — vGate.

 

РАСШИРЕННАЯ БЕЗОПАСНОСТЬ

Раньше для корпоративных межсетевых экранов требовалась интеграция с системами IDS/IPS. Сейчас требования изменились, поэтому в NGFW нужен встроенный функционал «песочницы», антивируса и защиты от фишинга и ботов. Последние две функции реализуемы в NGFW, а вот «песочницы» — не всегда, поэтому современные NGFW должны уметь интегрироваться со сторонними продуктами.

NGFW «Континент 4» умеет интегрироваться с отечественными песочницами:

  • PT Sandbox;
  • KATAP;
  • ATHENA.

Другой принцип расширенной безопасности — использование индикаторов компрометации, то есть данных о вредоносных ресурсах и ПО. Индикаторами нужно делиться со всеми сегментами ИТ-инфраструктуры, что решается через выделенные системы Threat Intelligence Platform. Такие системы агрегируют информацию об индикаторах с нескольких ресурсов и распространяются на средства защиты.

Индикаторы компрометации в «Континент 4»:

Встроенные базы:

  • «Код Безопасности»;
  • Лаборатория Касперского;
  • Центральный Банк (ФинЦЕРТ);
  • RST-cloud.

 

Интегрируемые базы:

  • Security Vision;
  • R-Vision;
  • пользовательские.

 

ВЫВОД

Указанные направления интеграции с NGFW крайне актуальны и востребованы на рынке. Наращивание экспертного опыта в этих областях позволит вендорам создать более качественный продукт и удовлетворить спрос заказчиков.

  1. Организация защищённого удалённого доступа снизит вероятность проникновения через компрометацию удалённого пользователя
  2. Интеграция NGFW с сервисами снизит вероятность взлома внутренней инфраструктуры
  3. Расширенная безопасность NGFW своевременно обнаружит актуальные и ранее неизвестные угрозы.

 

Реклама. ООО «КОД БЕЗОПАСНОСТИ», ИНН: 7715719244, Erid: 2Vfnxxy56ek

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.02.2025
Standoff 15: кибербитва в мае соберёт около полусотни команд белых хакеров и защитников со всего мира
13.02.2025
Эксперты ВТБ представили краткий скам-обзор января
13.02.2025
В ближайшем будущем QR-коды будут содержать антифрод-измерение
12.02.2025
UniCredit торопится выйти из России
12.02.2025
ФСТЭК России объявила о начале масштабных испытаний статических анализаторов
12.02.2025
АПКИТ: Единственный аккредитованный чип в разы уступает бытовым Intel Core i7
12.02.2025
Ideco: При обеспечении ИБ треть компаний выбирают комплексный подход
12.02.2025
Предоставление силовикам доступа к коммерческим БД конфликтует с законом «О персональных данных»?
12.02.2025
Компания «ДиалогНаука» выполнила сертификационный аудит на соответствие стандарту PCI DSS для АКБ «Авангард»
12.02.2025
ФСТЭК оценила безопасность объектов КИИ: 800 нарушений с реальными рисками остановки работы объекта

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных