Оглавление
NGFW (Next Generation Firewall) – не просто очередной сетевой экран, это комплексное решение, объединяющее функции традиционного файрвола с продвинутыми возможностями обнаружения угроз, предотвращения вторжений и глубокого анализа пакетов. Сложность системы и ее критическая важность для инфраструктуры компании задают особенные требования к техподдержке.
Автор: Алмаз Мазитов, эксперт по развитию бизнеса ИТ-компании Innostage
NGFW отличаются от традиционных файрволов тем, что работают на уровне приложений, а не портов и протоколов, поэтому и подход к их технической поддержке должен быть соответствующим – техподдержка должна разбираться не только в сетевых протоколах, но и в современных веб-приложениях, облачных сервисах и мобильных платформах. Кроме того, NGFW часто интегрируются с системами анализа угроз и репутационными базами данных, что требует постоянного обновления и настройки.
Почему техподдержка критически важна для NGFW
Когда речь заходит о безопасности, самое важное – оперативность реакции на угрозу. Это понятие комплексное и оно должно оцениваться на разных уровнях абстракции. Конечно, банальная скорость ответа на заявку о входящей угрозе – это первый фронт срабатывания поддержки, но есть и другие.
Например, менее очевидный момент – скорость замены оборудования. Она может потребоваться при резком росте нагрузки на сеть, обнаружении угроз, физическом повреждении устройства. Скорость замены критически важна, потому что любой простой в работе файрвола создает окно уязвимости. Если на время простоя изолируются связанные с открывающейся угрозой бизнес-процессы, то организация может понести финансовые и репутационные потери.
Второй, менее очевидный и особенно болезненный для российских вендоров момент – доступность информации. Часто документация к решению размещена на внутренних порталах поставщиков NGFW. Конечно, у каждой серьезно относящейся к ИБ компании на экстренный случай заготовлены протоколы действий для всех вовлеченных сотрудников. Но в случае реальной комплексной атаки организация переживает шоковое состояние. А во время нестандартного нападения специалист должен «действовать в соответствии с документацией поставщика», которую можно получить лишь по запросу. Замечу, что у зарубежных вендоров эта информация всегда находится в открытом доступе.
То же касается соглашений об уровне обслуживания (SLA) – иногда ИБ-специалисты компании не могут быстро получить квалифицированную помощь от вендора для настройки NGFW под новый вектор атаки. Время реакции растягивается на часы, а то и дни. За это время атака может нарушить работу критических сервисов компании, вызвать утечку данных или пройти этап закрепления и открыть путь для более серьезного вторжения.
Автоматизация рутины и разработка гайдов
Одна из фундаментальных проблем NGFW – баланс между безопасностью и производительностью. Файрволы нового поколения могут создавать узкие места в сети при неправильной настройке. Часто возникают проблемы с ложными срабатываниями, особенно при использовании функций IPS (системы предотвращения вторжений). Техподдержка должна уметь тонко настраивать правила и политики, чтобы минимизировать количество ложных срабатываний без ущерба для безопасности.
Техническая поддержка зарубежных компаний совершенствовалась и оттачивалась годами. Можно создать идеальный проект в теории, но пока не набьешь шишек на реальных кейсах защиты инфраструктуры, уязвимости будут оставаться. А значит – их будут обнаруживать и использовать злоумышленники.
В российской практике таких случаев множество, хотя они редко предаются огласке. Есть реальные кейсы, когда внедрение затягивалось больше чем на год. Столкновение теории, в которой все работает, и реальной архитектуры с уникальными особенностями не всегда выдерживает проверку опытом.
На совершенствование алгоритмов поведения сотрудников техподдержки российских вендоров уйдет минимум два года. Хотя с нынешней частотой атак на объекты цифровой инфраструктуры кто-то, возможно, справится с этой задачей быстрее.
Для ускорения процесса стоит ориентироваться на практики мировых лидеров рынка – у них поддержка работает с точностью хороших часов. До того, как сотрудника допускают к реальной работе, он учит объемные воркбуки. После этого ему открывают доступ к огромным библиотекам с данными, где говорится, куда смотреть в каждой ситуации, как приоритизировать задачи при конкретном типе атаки. Учитывая, что NGFW работает с огромным количеством сценариев нападений, без такой библиотеки обойтись невозможно.
Нельзя сбрасывать со счетов опыт корпоративного взаимодействия – интеграторы NGFW не только годами копили экспертизу на крупнейших инфраструктурах, но и активно ею обменивались. Российскому рынку подобная открытость конкурентам пока чужда. Регулирование отечественного рынка ИБ делает достижение подобного гибкого подхода еще более сложным. И, конечно, на ситуацию влияет нехватка кадров.
Как машинное обучение используется в техподдержке NGFW
В крупных компаниях (Cisco, FortiGate, Check Point и др.) уже давно используются различные лингвистические движки для выявления проблем в выводе диагностической информации. Многие инженеры используют его для решения проблем и в российских NGFW.
Направление стремительно развивается, и, возможно, в ближайшее время подобные рабочие решения уже появятся на российском рынке. Cisco, Huawei и другие крупные игроки работают над программно-определяемыми сетями. За сетями первого поколения последует и второе, в которое будет встраиваться машинное обучение. Но пока это, скорее, перспективное направление, чем распространенная практика.
Теоретически, мы можем заимствовать использование LLM вроде ChatGPT, прошедших файнтюнинг и обучение для работы с конкретными задачами ИБ и техподдержки. Это упростит работу операторов, но дублирует воркбук, правда, в гораздо более гибком и функциональном ключе: то есть сократит время реакции на заявку и обучение персонала.
Языковые модели можно использовать для поиска проблем в Linux Shell. Возможность просто вставить ошибку и получить развернутый ответ почти мгновенно локализовала проблему – беспрецедентно удобно. Конечно, работать нужно с обезличенными данными, а языковая модель должна быть развернута локально и отвечать российским протоколам безопасности. Эти проблемы решаются прямо сейчас.
Как совершенствовать техподдержку
Скорость срабатывания любых процессов в поддержке – это ключевая метрика эффективности. Поэтому необходимо проводить тестирование снова и снова – с таймером. Найти, что можно оптимизировать, кого и чему обучить, закрыть проблемные места, и снова провести тестирование.
Большого прироста скорости реагирования можно добиться с помощью повышения вовлеченности инженеров: добавлять выездные сервисные работы, не бояться менять оборудование. Стараться избегать ротации инженеров, чтобы сотрудник знал, что конкретно происходит на объекте, какое железо подключено, как работает схема.
Из этого естественно вытекает необходимость ценить и растить сотрудников, инвестировать в обучение, избегать перегрузок и регулировать поток заявок. Зачастую штат комплектуется из сотрудников, пришедших из других отделов, из других компаний, в экстремальных случаях – это студенты, не знающие ничего, кроме воркбуков.
Как правило, разработчики не идут работать в техподдержку, поэтому между создателями решения и исполнителями существует значительный разрыв в экспертизе. Закрыть его можно только обучением и детально прописанными скриптами. После обучения персонала организуется этап практического взаимодействия, в котором тоже нужно учиться, учиться и еще раз учиться.
Стандарт работы крупнейших вендоров – выезд на объект с потенциальной заменой всего оборудования. Лучшим решением, которое я видел у российских вендоров, была прямая телефонная линия, доступная 24/7. Некоторые используют для этого выделенный канал в Telegram, которым люди вынуждены пользоваться в обход технической поддержки. Взаимовыручку на уровне исполнителей, а не организаций, можно считать еще одной особенностью отечественного подхода к ИБ.
Ситуация будет меняться. Сейчас на отечественном рынке развиваются больше десятка NGFW. Конкуренция вынуждает вендоров совершенствовать техподдержку, которая становится важным преимуществом решений.
ITSec_articles