Несмотря на «размытость» периметра современной корпоративной сети и уход ИТ-сервисов в «облака», сети продолжают успешно взламывать и проблема защиты периметра сети не становится менее актуальной. На рынке представлено большое количество как универсальных и так и узкоспециализированных устройств, в которых непросто разобраться даже специалистам. Маркетологи, в целях отстройки от конкурентов, склонны выдумывать новые термины и аббревиатуры для своих технологий, но базовые вещи необходимо понимать. Это, как минимум: UTM/XTM, NGFW, Threat Intelligence, IDS/IPS, APT/Sandboxing, WAF.
Конечно, каждый разработчик стремится позиционировать свои продукты как нечто уникальное, хотя все предлагают примерно одно и тоже. В этом ресторане европейской и американской кухни мы получаем примерно одинаковые начинки под разными соусами. Попытаемся в этом разобраться.
Сначала (90-е годы) все выглядело довольно просто. Для защиты сети надо было установить межсетевой экран. Многие использовали и используют до сих пор бесплатный МЭ IPTables и squid прокси-сервер под Linux в сочетании с настройкой ACL на граничном (фильтрующем) маршрутизаторе. Либо можно было выбрать коммерческий продукт, типа Cisco PIX, TIS Gauntlet или Check Point FireWall-1. В первом использовалась более быстрая технология пакетной фильтрации, во втором — более надежное проксирование, а в третьем запатентованная технология Statefull Inspection, объединяющая, за дополнительные деньги, преимущества проксирования и пакетной фильтрации. Почему в наше время традиционного МЭ недостаточно для защиты сети подробно и со схемами объясняется, например, в следующей публикации SANS Institute: Common Network Security Misconceptions: Firewalls Exposed, SANS Security Lab.
Для обнаружения и автоматического реагирования на атаки использовались системы обнаружения вторжений (IDS). В них использовались технологии сигнатурного, статистического и поведенческого анализа сетевого трафика. Многие IDS умели блокировать подозрительный или аномальный трафик, сбрасывать сессии и посылать команды управления на МЭ для блокирования определенных IP-адресов, портов и протоколов. Поэтому со временем их стали называть системами предотвращения вторжений (IPS), делая акцент на активной составляющей их функционирования. Правильно настроенная IPS-система в связке с МЭ способна обеспечить хороший уровень защищенности сети от любых видов атак.
Разработанная Мартином Решем под Linux на базе tcpdump свободное ПО Snort — одна из первых IDS/IPS систем с открытым исходным кодом. Она получила наибольшее распространения и на ее основе было выпущено большое количество коммерческих продуктов, фактически являющихся графической оболочкой для snort, который в оригинале представляет собой «утилиту командной строки». На базе snort, в том числе, Мартином Решем был сделан коммерческий продукт Sourcefire 3D Censors, в последствии поглощенный Cisco, которая не славилась своей IPS-системой. Можно было бы также вспомнить Axent NetProwler, поглощенный всеядным Symantec, и множество других примеров коммерческих и некоммерческих IPS-систем.
Связка МЭ + IPS в целом работает хорошо. Концепция МЭ и представление о том какие функции он должен выполнять в наше время существенно расширились. МЭ следующего поколения (Next-Generation Firewalls, NGFW) должны, в частности, уметь разбирать зашифрованный трафик (SSH, SSL/TLS), анализировать заголовки пакетов на 5-7 уровнях (не только на 3-4), обнаруживать и блокировать туннелируемый трафик бот-сетей, анализировать протоколы веб-приложений работающих по HTTP/HTTPS протоколу и блокировать аномалии и подозрительную активность, и много другое. Существует большое количество требований и критериев, по которым можно сравнивать NGFW между собой, начиная с пропускной способности на различных типах трафика и заканчивая возможностями самообучения и формирования профилей пользователей. В следующей публикации объясняется каким образом следует организовать тестирование NGFW и как отличить серьезные продукты от устаревших поделок: Real-World Testing of Next-Generation Firewalls, SANS Reading Room, Eric Cole, 2013.
Следующим шагом (2000-е годы) стало объединение всех средств защиты сети в единый продукт — универсальный программно-аппаратный комплекс защиты сети (UTM-appliance), включающий в себя аппаратную платформу, предустановленную усиленную ОС на базе ядра UNIX и набор ПО для защиты сети: МЭ, IPS, VPN, антивирус и антиспам фильтры, средства анализа контента почтовых и веб-протоколов.
Позднее (2010-е годы) туда же стали добавлять средства предотвращения утечек информации (DLP), средства блокирования таргетированных атак (APT), специализированные сетевые экраны для веб-приложений (WAF). Появление APT систем обусловлено огромным ростом и разнообразием вредоносного ПО и угрозами нулевого дня, перед которыми почти бессильны традиционные антивирусные средства и системы обнаружения вторжений. Появление WAF связано с развитием web 2.0 и перемещением атак на прикладной уровень. Такие продвинутые UTM-устройства компания WatchGuard (являясь одним из лидеров рынка UTM) первой стала называть XTM (буквально — расширенное управление угрозами). Все перечисленное, конечно, можно приобрести и в виде отдельных продуктов: программных или аппаратных апплайенсов, ПО или SaaS. Хотя APT и WAF предлагаются как отдельные продукты, но еще лучше, когда эти функции реализованы в составе хорошей IPS системы, входящей в состав XTM-устройства. В чем отличие традиционной IPS от WAF подробно разъясняется в Intrusion Detection FAQ: What is the difference between an IPS and a Web Application Firewall?, SANS Security Resources.
Наконец, последний писк — это технология Threat Intelligence (TI). Threat Intelligence (разведка угроз) — это сбор данных об угрозах (атаках и вредоносном ПО) по всей сети интернет, анализ этих данных с целью определения угроз, источников этих угроз, применяемых для их реализации эксплойтов и вредоносного ПО, используемых уязвимостей и признаков компрометации сайтов (хостов), и последующее использование этой информации для блокирования атак на сетевом и хостовом уровне. Т.е., например, IPS-система или антивирусный шлюз, подключенные к сервису Threat Intelligence, потенциально способны обнаружить и заблокировать большее количество атак и вредоносного ПО, чем аналогичные средства, действующие изолировано. Речь идет не только об автоматическом обнаружении и предотвращении атаки, но также об автоматическом определении ее источника, средств ее реализации, используемых уязвимостях, целей атаки и пострадавших сторонах. Располагая столь подробной информацией можно предотвратить значительно больше атак и избежать значительно больше ложных срабатываний, чем позволяют привычные технологии сигнатурного, статистического и поведенческого анализа, используемые в IPS и в антивирусных продуктах.
Например, «Технология McAfee Global Threat Intelligence обнаруживает аномальное поведение и упреждающим образом корректирует репутацию веб-сайта, чтобы продукты обеспечения интернет-защиты McAfee смогли блокировать доступ к нему и защитить клиентов. Затем McAfee GTI проверяет свою обширную сеть датчиков и устанавливает связь между веб-сайтом и связанными с ним вредоносными программами, сообщениями электронной почты, IP-адресами и другими объектами, корректируя репутацию каждого связанного объекта, чтобы продукты обеспечения безопасности McAfee, от защиты конечных точек до защиты шлюзов, смогли оградить пользователей от кибератак со всех сторон. Благодаря охвату всех основных направлений угроз — файлов, веб-сайтов, электронной почты и сетей — и наличию информации о новейших уязвимостях во всей отрасли ИТ McAfee сопоставляет реальные данные, собранные миллионами датчиков по всему миру, и обеспечивает упреждающую защиту в реальном времени».
Заслуживает внимания Check Point ThreatCloud, использующий «песочницу» для эмуляции угроз (Sandboxing Threat Emulation), а также FireEye Threat Intelligence — это сервис, распространяемый на основе подписки, с которым интегрированы все средства сетевой защиты данного производителя, блокирующие атаки на уровне периметра сети, конечных точек и мобильных устройств. Система анализирует более 50 миллиардов виртуальных машин в день, включая 400,000 уникальных образцов вредоносного ПО, а также более одного миллиарда атак, не связанных с вредоносным ПО.
Однако появилась Threat Intelligence не сегодня, а еще в 2001 году, когда был создан первый открытый ресурс SANS Internet Storm Center (ICS), по мотивам успешного обнаружения и уничтожения сетевого червя Li0n worm, атаковавшего DNS серверы по 53 порту. Сегодня ICS собирает миллионы логов с IDS-сенсоров по всему миру каждый день, охватывая 500,000 IP-адресов в 50 странах.
Кроме этого, существует еще множество аналогичных продуктов и сервисов. Подробнее о них можно узнать, прочитав Групповой тест продуктов в категории Threat Intelligence, SC Magazine, февраль 2015.
Независимые тесты позволяют лучше сориентироваться на рынке современных устройств защиты сети. Например, Групповой тест NGFW, Miercom, Interop Las Vegas, апрель 2014, охватывающий большое количество устройств позволяет выявить победителей в различных номинациях:
- SOPHOS UTM 220 — лучшая пропускная способность пакетного фильтра (3-й уровень модели OSI)
- Check Point SWG-12600 — лучший результат по выявлению и блокированию вредоносного ПО и контролю приложений
- Websense WSG — лучший результат по выявлению и блокированию вредоносных сайтов (URL-фильтрация)
- SOPHOS SG 210, 230 — лучшая пропускная способность на прикладном уровне (7-й уровень модели OSI) и самый быстрый HTTP-прокси и IPS
Еще один Групповой тест UTM устройств, SC Magazine, март 2014 сопоставляет следующие продукты:
- Check Point Next Generation Threat Prevention Appliance
- Cyberoam Technologies Pvt Ltd CR200iNG-XP
- Dell SonicWALL NSA 4600
- Fortinet FortiGate-140D-POE
- SecPoint Protector P800
- VASCO aXsGUARD Gatekeeper
- WatchGuard XTM 545
Среди них мы особенно уважаем WatchGuard XTM 545 и Fortinet FortiGate-140D-POE за отличное соотношение цены и эффективности и Check Point Next Generation Threat Prevention Appliance за максимальную эффективность и навороченность (однако цена при этом в несколько раз больше).
При этом продукты WatchGuard — мультивендорные. Сам производитель разработал только ПО для межсетевого экрана, а все остальное — это интеграция ПО от AVG, TrendMicro, WebSense, Commtouch. (Подробнее можно почитать мой пост Мультивендорные UTM устройства WatchGuard). Check Point и Fortinet придерживается принципиально иного подхода и предпочитают разрабатывать все сервисы UTM самостоятельно.
Представляет также интерес Сравнительный тест UTM-устройств уровня Enterprise (хотя уже несколько устаревший), который демонстрирует преимущества Juniper ISG-1000 перед многочисленными конкурентами в Enterprise сегменте.
В заключении необходимо отметить, что все упомянутые выше разработчики и продукты, были приведены только для примера. Они не отражают каких-то предпочтений автора и не являются рекомендацией к приобретению. Для выбора подходящего технического решения в каждом конкретном случае необходимо проводить мероприятия по анализу рисков, проектированию системы защиты периметра сети и тестированию имеющихся продуктов.