Стремясь повысить производительность, конкурентоспособность и стабильность работы в условиях спада экономики и геополитического давления, предприятия все шире вовлекаются в процессы цифровой трансформации своей деятельности, что требует модернизации их ИТ-инфраструктуры. Это стимулируется, в частности, увеличением рисков киберугроз, ростом числа злоумышленников и повышением сложности вредоносного ПО.
О непростой ситуации в сфере информационной безопасности свидетельствуют многочисленные публикации ведущих компаний, работающих в данной области. В них детально анализируется тактика и способы проведения кибератак, рассматриваются методы противодействия такой активности.
Ответ на существующие и потенциальные угрозы — совершенствование решений для защиты ИТ-инфраструктуры предприятий и развертывание более эффективных систем безопасности. Важную роль в создании таких систем традиционно играют межсетевые экраны, являющиеся, по данным ФСТЭК, наиболее распространенными сертифицированными средствами защиты информации.
Значительное число межсетевых экранов, которые применяются российскими компаниями, уже завершили свой жизненный цикл или близки к его завершению. Поэтому, создавая в процессе цифровой трансформации обновленную ИТ-инфраструктуру, отечественные предприятия получают реальную возможность реорганизовать архитектуру сетевой безопасности на основе межсетевых экранов нового поколения.
Межсетевые экраны нового поколения (Next-Generation Firewall, NGFW) обеспечивают построение наиболее эффективных комплексов информационной безопасности, обладают способностью анализировать и контролировать сетевой трафик приложений и пользователей, поддерживают управление и конфигурирование на базе политик, имеют высокую производительность и могут эффективно взаимодействовать с другими компонентами системы защиты предприятия.
Как считают эксперты по информационной безопасности, к наиболее важным свойствам межсетевых экранов нового поколения относятся:
- интеграция в одном устройстве различных функций безопасности по защите от направленных атак, вредоносного программного обеспечения, известных и новых угроз;
- использование индикаторов компрометации (indicators of compromise, IOC) для ускоренного выявления деятельности вредоносных программ, локализации и ликвидации их последствий;
- обеспечение достаточно полной «видимости» сети, позволяющей идентифицировать активные приложения, определить взаимосвязь узлов, компонентов инфраструктуры и пользователей;
- способность автоматизации рутинных задач информационной безопасности, включая применение политик, идентификацию пользователей, корреляцию событий и возможных уязвимостей инфраструктуры в контексте атак;
- масштабируемость и высокая производительность;
- способность взаимодействия с продуктами и решениями безопасности других производителей;
- снижение сложности и стоимости инфраструктуры безопасности;
- обеспечение сохранения инвестиций.
Межсетевые экраны, обладающие подобными функциями, способны обеспечить наиболее эффективную защиту ИТ-ресурсов предприятия в условиях размывания границ сетевого периметра, постоянного роста числа мобильных пользователей, перехода к облачным решениям.
Межсетевые экраны нового поколения
В настоящее время в число ведущих производителей межсетевых экранов нового поколения входят Check Point Software Technologies, Cisco, Fortinet, Juniper Networks, Palo Alto Networks и ряд других компаний.
Предлагаемые ими системы являются, как правило, специализированными устройствами защиты сетевой инфраструктуры предприятия, которые предназначены для инсталляций различного масштаба, включая автономные решения, распределенные сети и филиалы компаний. Они позволяют также создавать многоуровневые демилитаризованные зоны и имеют виртуальные модификации для центров обработки данных и облачных сред.
Так как во многих российских компаниях установлены межсетевые экраны Cisco предыдущих поколений, имеет смысл подробнее рассмотреть основные возможности межсетевых экранов нового поколения на примере решений и технологий именно этой компании.
Хорошо известные в нашей стране межсетевые экраны Cisco Adaptive Security Appliance (ASA) снабжены теперь новейшими технологиями борьбы с киберугрозами. Такие устройства входят в семейство новейших NGFW-систем серии ASA 5500-X. Их основное преимущество — поддержка сервисов FirePOWER, которые в рамках единой платформы обеспечивают предотвращение внешних вторжений за счет функциональности New Generation Intrusion Prevention System (NGIPS), а также защиту от вредоносного ПО и целенаправленных атак (Advanced Malware Protection, AMP). К функциям данных устройств относятся также фильтрация URL-адресов на основе репутации, мониторинг состояния сетевых соединений, управление на прикладном уровне, поддержка VPN-соединений, кластеризация и ряд других возможностей.
Межсетевые экраны Cisco ASA с сервисами FirePOWER осуществляют комплексную интегрированную защиту сетей предприятия, обеспечивая противодействие угрозам на всем протяжении жизненного цикла атак, включая их обнаружение и отражение, а также последующие действия, необходимые для восстановления работоспособности ИТ-комплексов.
Многофункциональность межсетевых экранов нового поколения серии ASA 5500-X заметно упрощает построение системы защиты информации, поскольку сокращает число необходимых для ее создания устройств, позволяет уменьшить начальные инвестиции и наращивать по мере необходимости функциональность NGFW, просто добавляя необходимые лицензии.
Семейство межсетевых экранов серии ASA 5500-X насчитывает в настоящее время 14 различных модификаций с производительностью от 300 Мбит/с до 20 Гбит/с, которые предназначены для предприятий различного масштаба — SMB-компаний и крупных корпораций.
Межсетевые экраны нового поколения Cisco обладают не только расширенными функциями защиты от угроз, но и низкой совокупной стоимостью владения, в том числе за счет значительного снижения требований к квалификации эксплуатационного персонала, а также благодаря заметному сокращению объема работы ИТ-специалистов при возникновении инцидентов в области информационной безопасности, что чрезвычайно важно для небольших организаций и удаленных подразделений корпораций.
К примеру, межсетевые экраны Cisco ASA с сервисами FirePOWER способны значительно упростить выполнение и сократить время таких трудоемких операций, как поиск и выделение действительно опасных событий, которые требуют принятия неотложных мер для ликвидация последствий воздействия вредоносного ПО. Также эти устройства обеспечивают автоматическую настройку функций безопасности в соответствии с применяемыми политиками и изменениями контекста атак.
Для централизованного управления межсетевыми экранами ASA с сервисами FirePOWER используется программная система Cisco Firepower Management Center.
В 2016 году выпущена платформа нового поколения Cisco FirePOWER серии 4100, объединяющая наиболее эффективные функции межсетевых экранов ASA и сервисов FirePOWER, которая имеет единый интерфейс управления, ориентированный на борьбу с угрозами и полностью интегрированный с NGFW. Наряду с функциями предотвращения вторжений NGIPS, защиты от вредоносных кодов AMP и репутационной фильтрации URL-адресов, платформа FirePOWER серии 4100 использует технологии компании Radware для защиты от DDoS-атак. В нее также интегрированы решения AMP for Endpoint, AMP Threat Grid и Cisco Identity Services Engine, которые повышают эффективность мониторинга сети, ее компонентов и обеспечивают безопасность оконечных устройств. Платформа FirePOWER серии 4100 предназначена для установки на границе сети и для работы в других высоконагруженных средах.
Провайдерам услуг, владельцам высокопроизводительных центров обработки данных и систем высокочастотного трейдинга в компании Cisco предлагают модульную платформу Cisco FirePOWER 9300, которую можно масштабировать до быстродействия, превышающего 1Тбит/с. Данная платформа поддерживает программную оркестровку, а также управление сервисами безопасности с помощью API-интерфейсов REST.
Характерной особенностью всех межсетевых экранов нового поколения Cisco является их обновление в автоматическом режиме по мере обнаружения новых угроз на основе исследований и разработок подразделения Cisco Talos.
По данным одной из ведущих компаний в области информационной безопасности NSS Labs, межсетевые экраны Cisco с сервисами FirePOWER отражают больше угроз, чем подобные устройства других производителей.
Эффективная комплексная защита
Межсетевые экраны нового поколения значительно увеличивают скорость обнаружения атак на информационные системы предприятий и сокращают время устранения их последствий.
Однако, каким бы функционалом ни обладали межсетевые экраны, они не способны обеспечить максимальный уровень защиты и их следует использовать совместно с такими компонентами комплексов безопасности, как средства защиты почтовых систем и веб-трафика, а также с клиентами VPN и рядом других решений.
Режимы и методы использования продуктов, формирующих экосистему безопасности предприятий, зависят от конкретных требований бизнеса и приоритетов защиты информационных систем. Поэтому создание эффективных комплексов защиты информации является интеграционным проектом повышенной сложности, для выполнения которого требуются высокая квалификация собственного персонала, поддержка разработчиков продуктов информационной безопасности, а также участие системных интеграторов.
Поддержку перехода к межсетевым экранам нового поколения и реализацию проектов в области информационной безопасности выполняют специалисты Cisco и ее сертифицированные партнеры, к примеру, компания Softline, имеющая специализацию Cisco Advanced Security и статусы Gold Certified Cisco Partner и Cloud and Managed Services Master.
Приобретение продуктов Cisco упрощается услугами подразделения Cisco Capital по обеспечению финансирования в течение всего их жизненного цикла.
Годовой отчет Cisco по информационной безопасности за 2016 год