Новости

МЕЖСЕТЕВОЙ ЭКРАН: Превентивная мера защиты или локальная борьба с вредоносным ПО?

МЕЖСЕТЕВОЙ ЭКРАН: Превентивная мера защиты или локальная борьба с вредоносным ПО? Выбор NGFW отечественного производителя в период импортозамещения.

ОРГАНИЗАЦИОННЫЕ РАМКИ

Время на чтение: 8 минут.
Выгода: Узнаете какие проблемы с безопасностью может решить файрвол и как «выжать» из него максимальный результат.

НОВОСТИ КИБЕРБЕЗА

Хакеры из Китая компрометируют роутеры TP-Link. Они разработали специальную прошивку, которая позволяет кибер-преступникам запускать свои команды, работать с файлами и передавать данные между клиентами сети. Измененная прошивка также скрывает от пользователя возможность прошить роутер через веб-интерфейс.
Подробнее: https://www.securitylab.ru/news/538250.php
Злоумышленники используют «мемы» для распространения вредоносного кода и похищения конфиденциальной информации. Злоумышленники используют фишинговые письма с мемами. Благодаря вредоносному ПО злоумышленники получают возможность загружать секретные данные с зараженных компьютеров.
Подробнее: https://www.securitylab.ru/news/538159.php
Новости кибербеза удивляют с каждым днем. Но еще больше удивляет то, что компании не защищены стандартными для специалистов ИТ и ИБ инструментами. В этой статье поговорим про файрвол.

ЗАЧЕМ НУЖЕН ФАЙРВОЛ

У каждой компании есть сервер, на котором расположены различные приложения и сервисы. Часть сервисов предназначена для внешнего использования, и компания зарабатывает на них деньги. Другая часть, только для внутреннего использования в периметре компании.
Как сделать так чтобы разграничить использование сервисов и приложений таки образом, чтобы внешним пользователям были доступны только сервисы для внешнего использования, а остальные были доступны только внутренним пользователям сети?
Физически разграничить сеть можно только в теории, ведь все сервисы взаимосвязаны для обмена и удобства работы пользователей. Разграничение сети может привести к повышенным трудозатратам и нарушению автоматизации.
Установка только лишь антивируса не даст гарантии защиты от вредоносного ПО. Их сотни видов и оно постоянно модифицируется, так что риск заражения постоянно растет. Необходимо принимать превентивные меры, нежели бороться с вредоносным ПО локально уже после проникновения.
Оставить сетевую связность сервисов и при этом сохранить безопасность, чтобы злоумышленник не мог получить доступ к закрытым ресурсам, возможно, с помощью такого способа защиты, как межсетевой экран – файрвол.

КЛАССИЧЕСКИЙ FIREWALL – НЕ ПАНАЦЕЯ

Злоумышленники научились маскировать под легитимные сервисы вредоносное ПО и его активности, так, что классический межсетевой экран не увидит ничего подозрительного. Да и внутренние пользователи тоже могут нарушать политику безопасности.
Защитив все входящие соединения нельзя быть уверенными, что сеть компании защищена. Может случиться, как в известном анекдоте – злоумышленник зайдет в сеть через выход.
- Не уйдет - подумал Мюллер, и перекрыл все выходы.
- Идиот - подумал Штирлиц и ушел через вход.
У злоумышленников существуют техники, которые провоцируют пользователя внутри периметра компании инициировать исходящее соединение на подконтрольный им сервер. Поскольку, исходящее соединение не блокируется, злоумышленник может через это же соединение выполнять свои действия.
Часто такой механизм реализуют в виде фишинговых ссылок, после нажатия на которые запускается вредоносное ПО и устанавливает соединение с сервером злоумышленника.
Получается, что для защиты нужно что-то более функциональное.

NEXT GENERATION FIREWALL

Межсетевой экран нового поколения – NGFW. Функционал NGFW каждый описывает по-разному, иногда прописывая в обязательные свойства опциональные функции, а иногда забывая те функции, который стали неким стандартом в NGFW. Имеет смысл разделить функционал на категории.
Основной функционал NGFW:
  • L3/L4 – фильтрация пакетов по сетевым признакам, адрес/порт.
  • L7 – фильтрация протоколов и приложений.
Дополнительный функционал NGFW:
  • NAT/Маршрутизация;
  • Инспектирование SSL;
  • Фильтрация контента;
  • Фильтрация почты(антиспам);
  • Потоковый антивирус;
  • IDS/IPS;
  • VPN;
  • Аутентификация пользователей.
Опциональный функционал NGFW:
  • Web Application Firewall;
  • Возможность получать данные об угрозах из внешних источников;
  • Технологии песочницы;
  • Технологии SD-WAN;
  • Captive-портал для Wi-Fi;
  • Прочее.
Основной функционал присутствует в любом NGFW, без него решение не может называться NGFW. Дополнительный функционал присутствует в большинстве NGFW. Опциональный функционал говорит сам за себя, он включается опционально в разных решениях.

ВНЕДРИЛИ NGFW – НЕ ЗНАЧИТ ЗАЩИТИЛИСЬ

«Из коробки» большинство NGFW не настроены, либо настроены, как классические межсетевые экраны по 4 уровню модели OSI. После стандартной установки NGFW и без правильной настройки опытными специалистами, получится что компания купила классический Firewall по цене NGFW и защита IT-инфраструктуры опять под вопросом.
Помимо настройки для достижения максимального результата нужно интегрировать работу NGFW с другими средствами защиты, ведь сам по себе межсетевой экран не решит всех проблем. Интегрировать NGFW можно со сторонними антивирусными решениями, с системами мониторинга событий типа SIEM, подключать механизмы авторизации пользователей и многое другое, в зависимости от потребностей.
Интегрировать тоже нужно с умом. Ведь может случиться так, что тесно интегрированный межсетевой экран откажет. Чтобы такие отказы не лишали компанию прибыли останавливая основные бизнес-процессы, необходимо наладить отказоустойчивость – настроить резервирование.

КОМУ НУЖЕН NGFW

NGFW нужен практически всем IT-инфраструктурам в современном мире, в том числе коммерческим и муниципальным организациям. Однако в некоторых случаях использование NGFW является обязательным, так как деятельность контролируется законодательством.
Объекты КИИ, ИСПДн, ГИС и АСУ ТП нужно защищать согласно приказам ФСТЭК, исходя из класса информационной системы и уровня защищенности. Для этого применяются сертифицированные ФСТЭК межсетевые экраны.
NGFW может не быть обязательным лишь в очень ограниченных случаях. Там, где нет пользовательского трафика и трафиком обмениваются только автоматизированные системы. Там, где трафик только определённого вида, всё обвешано политиками, что «мышь не проскочит», и где риск остановки сервиса ударит по бюджету.
Однако тренды говорят о том, что даже в таких случаях можно, а иногда и нужно внедрять. NGFW. Это повышает видимость сети, позволяет обнаруживать присутствие злоумышленника или утечки там, где их не было видно на 4 уровне модели OSI.

КАКОЙ NGFW ВЫБРАТЬ

Многие зарубежные вендоры ушли, оставив пользователей без возможности обновляться, либо существенно ограничив функционал. Однако современные требования защиты КИИ, ГИС, ИСПДн предписывают использовать только сертифицированные отечественные решения. Получается, что альтернатив в виду зарубежных вендоров быть не может.
Обратите внимание на проверенный отечественный и многофункциональный межсетевой экран UserGate.
UserGate закрывает практически любые потребности, имеет самые разнообразные варианты интеграции в сеть, содержит поддержку наибольшего количества технологий. Функционал UserGate, по нашему мнению, больше других отечественных вендоров приблизился к решениям мирового уровня.
UserGate совмещает в себе систему обнаружения вторжения и межсетевой экран и внесенным в реестр сертифицированных средств защиты информации ФСТЭК России. Это значит, что UserGate проверен и со стороны контролирующих органов безопасности нашей страны.

ВНЕДРЯЙТЕ NGFW С ЭКСТРИМ БЕЗОПАСНОСТЬ

Используя UserGate, вы сможете контролировать сеть компании и не допустить вторжения злоумышленников для нарушения бизнес-процессов. Специалисты компании «Экстрим безопасность» помогут внедрить NGFW и настроить его корректную работу для защиты вашей IT-инфраструктуры, помогут интегрировать с нужными сервисами, а также наладить отказоустойчивость для стабильной работы. Не давайте злоумышленникам возможность влиять на прибыль вашей компании.
Звоните: +7 (343) 222-13-32 - Екатеринбург, +7 (978) 214-29-87 - Севастополь
Пишите: order@xrm.ru - Екатеринбург, 978@xrm.ru - Севастополь
Экспертиза