Руслан Рахметов, Security Vision
Неожиданный уход зарубежных ИБ-вендоров в начале 2022 года способствовал появлению на российском рынке новых типов импортозамещающих защитных решений. Одной из главных потребностей отечественных заказчиков стали сетевые средства защиты, включая межсетевые экраны нового поколения (NGFW). О том, какими функциями должны обладать подобные продукты и для чего они нужны, а также об основных вызовах, с которыми столкнулись российские производители и потребители, мы расскажем в данной статье.
Межсетевые экраны (сокр. МЭ, их еще называют брандмауэры, от немецкого Brandmauer, или файерволлы, от английского firewall) - это сетевые средства защиты, которые позволяют ограничить доступ к сетевым сегментам или отдельным хостам на основе задаваемых администратором правил, опирающихся на свойства сетевого соединения, включая IP-адрес, порт, протокол, содержимое сетевого пакета, а также проверяя трафик в том числе на наличие вредоносного или нежелательного контента. В настоящее время можно условно выделить 4 поколения межсетевых экранов:
· 1 поколение: простейшие пакетные фильтры без контроля состояния сетевых соединений (stateless-файерволлы), которые появились в конце 1980-х годов. Данные решения применяются и сейчас в случаях, когда требуется простота и скорость работы. Данные МЭ работают на сетевом (третьем) и транспортном (четвертом) уровнях модели OSI и анализируют каждое сетевое соединение по отдельности, не имея контекста и истории предыдущих сетевых соединений. Таким образом, они могут выполнить, например, блокировку входящего трафика с определенного IP-адреса и по определенному порту, а также предотвращать простейшие сетевые атаки (несложный DDoS, сканирование портов).
· 2 поколение: межсетевые экраны с контролем состояния сетевых соединений (stateful-файерволлы), которые появились в начале 1990-х годов. Данные продукты получили возможность видеть взаимосвязи между сетевыми соединениями: в оперативной памяти такого устройства сохраняется информация о состоянии и контексте каждого сетевого соединения, что используется при принятии решения о пропуске или блокировке трафике. МЭ этого поколения получили возможность использовать динамические правила сетевого доступа - открывать и блокировать определенные порты на основе состояния соединения, что особенно полезно при работе протоколов с динамическим выбором портов во время согласования соединения. Подобные МЭ используются до сих пор: несмотря на существенные требования к производительности и объему памяти устройства, они помогают предотвращать атаки типа "Session hijacking" (перехват TCP-сессии) и "Packet injection" (внедрение поддельных пакетов).
· 3 поколение: с середины 2000-х годов всё большее внимание стало уделяться сетевым атакам на веб-серверы и веб-приложения, поэтому появился класс решений, поддерживающий анализ трафика на прикладном (седьмом) уровне модели OSI - межсетевые экраны прикладного уровня. Так, прокси-серверы (прокси-файерволлы) устанавливаются в корпоративной инфраструктуре и выступают посредником между пользователем и сетью интернет, перехватывая веб-трафик и анализируя его содержимое. Такие решения предотвращают доступ пользователей к нежелательным сайтам (фишинговым и распространяющим ВПО, к содержащим незаконный контент, к соцсетям, игровым ресурсам и т.д.), а также блокируют загрузку потенциально небезопасных файлов из интернета. Примерно в то же время стали появляться защитные решения и для веб-серверов - например, в 2002 году для веб-сервера Apache был разработан модуль ModSecurity, который позволял фильтровать запросы и ответы к/от веб-сервера для предотвращения сетевых атак (проект развивается и сейчас, предоставляя, например, набор правил Core Rule Set для блокирования различных типов веб-атак по методологии OWASP). Развитием данной идеи стали решения класса WAF (межсетевые экраны уровня приложений, Web Application Firewall) - программные или аппаратные решения для обеспечения сетевой безопасности, предназначенные для глубокого анализа веб-трафика на уровне L7 и поведенческого анализа работы клиентов с веб-приложением с блокировкой подозрительных действий и установкой виртуальных патчей.
· 4 поколение: с увеличением производительности оборудования стало возможным комбинировать различные защитные функции на единой платформе - так в 2000-х годах появились UTM-решения (Unified Threat Management, унифицированное управление киберугрозами), в которых сочетались stateful-файерволл, сетевое средство обнаружения и предотвращения вторжений (IDS/IPS), VPN-шлюз, антивирус, средство контентной фильтрации. Идея комбинированного, унифицированного решения для защиты от сетевых атак стала развиваться - в 2008 году компания Palo Alto Networks представила класс решений под названием NGFW (Next-Generation Firewall, межсетевой экран нового поколения). Решения класса NGFW дополнили функционал UTM за счет возможности контроля сетевой активности приложений на прикладном (седьмом) уровне модели OSI, фильтрации вредоносных URL, интеграции с системами аутентификации пользователей, интеграции с «песочницами» для проверки подозрительных объектов, проверки зашифрованного трафика (SSL/TLS-инспекция), защиты от DDoS-атак.
В статье Gartner Research под названием "Defining the Next-Generation Firewall" («Давая определение файерволлу нового поколения»), которая вышла в 2009 году, сказано, что на тот момент МЭ предыдущих поколений не могли эффективно противостоять сетевым атакам, использование IPS/IDS-систем отдельно от МЭ не давало преимуществ и приводило к повышению операционных затрат, а новые на тот момент решения класса NGFW позволяют выявить атаки на прикладном уровне и применять гранулированные политики сетевого доступа. Аналитики Gartner перечислили набор функций, необходимых решению класса NGFW:
· Подключение «в разрыв» сети без негативного влияния на сетевые коммуникации;
· Использование всего функционала МЭ предыдущих поколений, включая пакетную фильтрацию, NAT-трансляцию, stateful-инспекцию протоколов, поддержку работы в качестве VPN-сервера, и т.д.;
· Высококачественное обнаружение и предотвращение вторжений, интегрированное в NGFW, включая выявление угроз по сигнатурам и правилам, с блокированием вредоносного трафика и атакующих хостов;
· Глубокий анализ сетевых приложений вне зависимости от используемых ими портов и протоколов, а также возможность гранулированного ограничения сетевого доступа (например, возможность разрешить только переписку в мессенджере, но не обмен файлами);
· Интеграция с внешними источниками, например, интеграция со службами каталогов для предоставления сетевого доступа только определенным доменным пользователям или интеграция с сервисами предоставления черных списков внешних IP-адресов;
· Поддержка возможностей по улучшению функционала, включая интеграцию с источниками данных и новыми защитными технологиями.
В настоящее время Gartner дает следующее определение: NGFW - это МЭ с глубокой инспекцией пакетов на прикладном уровне (независимо от используемых портов и протоколов), встроенным функционалом предотвращения сетевых вторжений, с интеграцией данных из внешних источников аналитики киберугроз.
С момента создания первого NGFW прошло уже немало времени, поэтому к современным МЭ нового поколения предъявляются расширенные требования, такие как:
· Поддержка анализа сетевого трафика на гигабитных скоростях;
· Поддержка большого числа сетевых правил, работающих одновременно (от 1 тысячи правил для enterprise-сегмента);
· Поддержка SSL/TLS-инспекции, включая расшифрование трафика «на лету» через реализацию санкционированной MitM-инспекции с помощью устанавливаемого в ОС пользователя корневого сертификата;
· Поддержка анализа сотен тысяч сетевых сессий одновременно;
· Поддержка интеграции с источниками киберразведки для загрузки различных индикаторов компрометации (IP-адреса, домены, URL, хэши вредоносных файлов и т.д.);
· Анализ DNS-трафика с выявлением запросов к подозрительным доменам (методы DGA и DNS Fast Flux), с обнаружением соединений с C&C-серверами атакующих, с выявлением скрытых каналов утечки информации (DNS-туннелирования);
· Выявление вредоносного и потенциально опасного содержимого разных типов (вирусы, сетевые черви, трояны, зашифрованные архивы, офисные документы с макросами и т.д.), использование различных методов обнаружения (на основе правил, сигнатурный анализ, запуск в сторонней или интегрированной «песочнице»), блокирование скачивания опасных файлов «на лету»;
· Продвинутая фильтрация и категорирование URL-адресов с ограничением доступа пользователей к потенциально опасным или незаконным веб-ресурсам, например, с азартными играми, нелицензионным ПО, опасными программами, а также с блокированием доступа к фишинговым или вредоносным ресурсам;
· Глубокая инспекция сетевого трафика на уровне функционала специализированных DPI-решений;
· Расширенный контроль приложений с выявлением трафика, характерного для определенных программ (мессенджеры, системы совместной работы, облачные хранилища и т.д.), с применением гранулированных правил сетевого доступа для различных приложений и групп пользователей (включая доменных через интеграцию со службами каталогов);
· Обнаружение вторжений с выявлением признаков использования эксплойтов (включая 0-Day) и неизвестных инструментов совершения кибератак;
· Выявление ранее неизвестного вредоносного трафика и контента, в том числе с использованием ML-моделей;
· Анализ поведения устройств в сети и выявление аномалий в трафике, в том числе с использованием ML-моделей;
· Интеграция с другими типами корпоративных СЗИ, интеграция по API, отправка событий ИБ в SIEM/SOAR-системы по различным протоколам и в разных форматах (CEF, LEEF, EMBLEM, ELFF и т.д.);
· Поддержка отказоустойчивости, балансировки нагрузки, масштабирования;
· Поставка в виде виртуального апплаенса или программно-аппаратного комплекса;
· Поддержка централизованного управления сетью NGFW-решений через единую консоль или через стороннее средство (например, через SOAR-платформу).
Отметим также, что на российском рынке сейчас представлены порядка 20 различных NGFW-решений от самых разных вендоров. Однако основные вызовы, с которыми сталкиваются и производители, и заказчики, связаны с производительностью: крупным корпорациям требуются высокопроизводительные NGFW-решения, которые будут стабильно работать на высоких скоростях (например, на 100 Гбит/сек с включенной функцией контроля приложений), а также смогут проводить TLS-инспекцию зашифрованного трафика «на лету» (например, на скорости 10 Гбит/сек). Такие скорости доступны на сегодняшний день только при реализации NGFW в виде программно-аппаратного комплекса - физического устройства с большим объемом ОЗУ и высокопроизводительными ЦПУ со специализированной ОС, в которую тесно интегрирован софт управления функциями МЭ. Подобного рода аппаратные импортозамещающие решения требуют особого подхода с точки зрения их кибербезопасности - в частности, использование недоверенной (зарубежной, даже из дружественных стран) компонентной базы может стать причиной внедрения программно-аппаратных закладок в NGFW. Следовательно, импортонезависимые аппаратные NGFW-решения должны быть собраны исключительно с применением собственной отечественной микроэлектронной компонентной базы на российских фабриках, которые должны быть оснащены российским оборудованием и станками, на которых должны работать квалифицированные отечественные инженеры. Задача создания подобной современной российской микроэлектронной промышленности пока что находится на этапе решения.
