Защита корпоративных сетей передачи данных с помощью отечественных СЗИ

Дата: 27.11.2022. Автор: Астрал.Безопасность. Категории: Статьи по информационной безопасности
Защита корпоративных сетей передачи данных с помощью отечественных СЗИ

Последние годы определенно не давали заскучать сотрудникам ИБ. Разразившиеся пандемия вынудила многие компании перейти на удалённый формат работы, что значительно изменило периметр безопасности. Сотрудники стали работать из дома, а нередко даже с собственных компьютеров, которые не были защищены корпоративными межсетевыми экранами, антивирусами и т.п. Возникла острая необходимость в построении безопасного удалённого доступа к сети предприятий и в концепции «нулевого доверия». И даже после того, как шум вокруг пандемии стих, многие компании не стали полностью отказываться от «удалёнки», и потребность в защите корпоративных сетей лишь усилилась.

С марта 2022 года, атаки на российские компании участились. Согласно исследованию, проведённому компанией Positive Technologies, за первый квартал 2022 количество кибератак увеличилось на 14,8% по сравнению с IV кварталом 2021 года. При этом доля массовых атак увеличилась до 33% от общего числа.  Во втором квартале увеличился процент целенаправленных атак с 67% до 71%.

К проблеме возросшей активности злоумышленников добавился уход ряда зарубежных производителей средств защиты сети передачи данных. О своём уходе, либо о приостановке деятельности заявили CiscoFortinetImpervaIBM и ряд других иностранных вендоров. Также в сети появилась информация о том, что Meraki (дочерняя компания Cisco) приостановила работу лицензий российских компаний. На официальном сайте Meraki никаких новостей на этот счет не было, однако в тематических сообществах регулярно находятся пользователи, как утверждающие об отключении их лицензий, так и сообщающие, что Meraki не продавала лицензии в России. Данный случай является скорее исключением, так как большинство вендоров не стали приостанавливать уже купленные лицензии, и ограничились отказом в их продлении, а также в оказании технической поддержки и получении обновлений. Однако и такое развитие событий ставит множество компаний в рискованное положение. Стоит учесть, что без качественной поддержки со стороны производителя, эксплуатировать СЗИ бывает затруднительно, а уж если говорить о получении обновлений, то такие классы решений как IDS/IPS/NTA/антивирусы без актуальных обновлений и вовсе существенно снижают уровень информационной безопасности. 

Текущая ситуация не сулит быстрого снятия ограничений, и всегда стоит учитывать, что любые зарубежные поставщики могут в любой момент уйти под давлением санкций. А значит, пора задуматься о переходе на отечественные решения. 

Что же насчет российских производителей СЗИ? На текущий момент многие из них уже нашли способы решения проблем с производством своих аппаратных решений — кто-то нашёл альтернативные каналы поставок, кто-то смог найти производства внутри страны. С программной частью у отечественных производителей и раньше не было сложностей, т. к. разработка у большинства велась на территории РФ. 

Ни для кого не секрет, что российские решения в области защиты сети всегда отставали от зарубежных. Однако в последние годы ситуация стала меняться в лучшую сторону. С момента объявления курса на импортозамещение, компании стали вынуждены переходить на отечественные средства и, вместе с тем, стали предъявлять больше требований к производителям СЗИ, так как уже привыкли ко многим «фишкам» зарубежных решений. Это и обеспечивает постоянный рост и совершенствование отечественного рынка ИБ.

Давайте рассмотрим, какие же отечественные средства защиты корпоративных сетей существуют на сегодняшний день.

Отечественные средства защиты сети

В первую очередь, когда речь заходит о защите сети, все вспоминают про межсетевые экраны (МЭ). В этой области существует огромное количество предложений — начиная от простых и заканчивая весьма продвинутыми решениями. Основная суть межсетевых экранов довольно проста — это фильтрация сетевого трафика, которая осуществляется на разных уровнях модели OSI. Чем выше уровень, на котором проводится фильтрация, тем сложнее решения, и тем больше возможностей предоставляется пользователю. Также немаловажной характеристикой является скорость обработки трафика. Если для небольшого офиса вполне может хватить 50 Мб/с, то для ЦОД уже используются средства, способные обработать более 100 Гб/с.

Однако просто фильтровать трафик недостаточно. Нужно ещё уметь выявлять в нём аномалии. И этим как раз занимаются средства обнаружения вторжения (СОВ), они же IDS/IPS. Ввиду специфики российской терминологии, решения IDS и IPS зачастую обозначаются одним сокращением СОВ. IPS является частным случаем IDS с возможностью блокировки аномалии /атаки в случае обнаружения. Это возможно только если IPS установлен на пути прохождения трафика «в разрыв». В то время как IDS устанавливается сбоку и принимает зеркало трафика. Данный класс решений анализирует проходящий через него трафик и выявляет в нём различные признаки вредоносной активности. Для этого используются методы сигнатурного и эвристического анализа. Сигнатурный анализ основан на конкретных чертах — сигнатурах. Это может быть контрольная сумма пакета, конкретные заголовки и т. п. Эвристический анализ основывается на поведении программ и позволяет обнаруживать ранее неизвестные атаки. Как и МЭ, средства обнаружения вторжения могут обработать только определённое количество трафика в секунду. 

Главным минусом российских МЭ (особенно аппаратных) и СОВ, является их пропускная способность. Если нужно защитить поток трафика до 40 Гб/с (в режиме МЭ), то тут проблем особых не возникает, но при защите трафика от 100Гб/с и более, приходится использовать внешние балансировщики и пытаться как-то разделить трафик на части, что влечёт усложнение архитектуры системы и осложняет дальнейшее сопровождение.

По мере развития МЭ, появились такие понятия как NGFW (Next Generation Firewall, межсетевой экран нового поколения), а также UTM (Unified Threat Management). В отличие от простых МЭ, эти решения совмещают в себе дополнительные функции — СОВ, поточные антивирусы, контент-фильтрацию, VPN, прокси и т. п. Споров о том, что считать NGFW/UTM хватает, и далеко не всегда удаётся чётко провести эту границу. Тем не менее, данный класс на текущий момент является довольно распространённым и популярным как на российском, так и на международном рынке.        

Нередко можно встретить мнение о том, что в России нет своих NGFW. При этом если вбить в поисковик «российский NGFW» результатов будет предостаточно, а с приходом санкций, приставку NGFW в своих продуктах не использовал только ленивый. Так как же обстоит дело на самом деле? Для ответа на данный вопрос нужно понять, откуда взялся термин NGFW, и что за ним скрывается. Его автором считается компания Gartner Research. В описании говорится, что NGFW должно проводить глубокий анализ пакетов, а не только портов и протоколов, проверку на уровне приложений, предотвращать вторжения, а также получать сведения об угрозах извне. Gartner указывает, что не стоит путать NGFW с МЭ и IPS, не имеющим глубокой интеграции. Что такое глубокая интеграция пояснений нет.

Итак, у нас есть определение NGFW, и есть различные отечественные решения. Как произвести сопоставление? Самым простым является проверка на прямое соответствие описанию. Если есть МЭ, смотрим на каком уровне он способен работать согласно модели OSI. Допустим, производитель заявляет о наличии поддержки L7 (уровень приложений). Но при подробном рассмотрении оказывается, что МЭ определяет десяток приложений и то не очень точно. С одной стороны требование выполнено, с другой — как-то слабо. То же самое можно сказать и про наличие функционала СОВ. Элементарно может быть случай, когда имеется СОВ, и возможно даже есть какой-то обмен данными с МЭ, однако насколько глубоко должно осуществляться это взаимодействие? Именно такие вопросы и приводят к спорам о существовании NGFW в России. Можно порой услышать, что NGFW — это вообще маркетинговый термин. Такое мнение ближе к истине, так как каждый вендор имеет своё мнение о том, что такое NGFW и отстаивает свою позицию.

Для мониторинга сети также применяются решения класса NTA (Network Traffic Analysis). В отличие от СОВ, данное средство хранит слепок трафика и может проводить ретроспективный анализ. Также оно обеспечивает построение графов связей, определение типов узлов в зависимости от трафика и т.д. NTA используются не только для выявления атак и вредоносной активности, но и для расследования инцидентов. Текущие российские средства NTA имеют хороший уровень зрелости и не уступают зарубежным.

Не стоит забывать и о криптошлюзах, которые осуществляют криптографическое шифрование трафика. Эти решения позволяют построить защищённый канал связи и не беспокоиться о перехвате трафика. Криптошлюзы используются для соединения территориально удалённых филиалов, офисов и удалённых сотрудников. Нередко криптошлюзы работают совместно с МЭ в одном устройстве для более надежной защиты. 

Согласно требованиям российского законодательства, все отечественные криптошлюзы должны быть сертифицированы ФСБ РФ и использовать отечественную криптографию. Подобный контроль обуславливает их высокое качество.

А как быть с облаками?

Вот уже не первый год нам твердят об облачном будущем. Что облако — это удобно и безопасно. Но пока что российский потребитель не спешит выпускать информацию за пределы периметра. Связано это зачастую с недоверием к облачным технологиям и недостаточно чёткой нормативной базой. Может ли облако быть удобным — безусловно может. Как минимум, облако избавляет нас от необходимости думать о месте под серверную комнату, охлаждении, наличие свободных мощностей, ремонте и в целом обслуживании аппаратной части. Нужно нарастить мощность? Не проблема — отправили заявку провайдеру, и вот у вас уже обновлённый сервер. Основные опасения касаются как раз части безопасности. Когда почту предприятия предлагают защитить облачным средством, то сразу возникают вопросы о добропорядочности вендора — не будет ли вендор читать письма, хранить их у себя или ещё как-то злоупотреблять имеющимися данными. Опасения эти вполне понятны, но необходимо помнить, что вендоры, обеспечивающие облачную защиту, не занимаются её хранением. Так, например, ваша переписка не будет храниться в облаке, там останутся только заражённые письма для их дальнейшего изучения. Пока что при внедрении облачных СЗИ основным препятствиями остаются характерная для сотрудников ИБ подозрительность и особенности российского законодательства. Но со временем специалисты начнут привыкать к облачным решениям, а регуляторы постепенно адаптируют законодательство под новые реалии.

Внедрение средств защиты сетей

В настоящее время искать большого выбора между российскими и зарубежными СЗИ не стоит — санкции и общий курс государства на импортозамещение не оставляют большого пространства для манёвра. Однако не стоит забывать о тех преимуществах, которые несет в себе работа с отечественными ИТ-продуктами. Несомненным плюсом российских СЗИ является русскоязычная техподдержка, а также возможность вилять на процесс развития средств. Более заточенные на нашего потребителя, производители СЗИ оперативно реагируют на различные запросы. Некоторые из них даже частично реализовали логику передовых зарубежных решений и механизм переноса настроек зарубежных устройств на свои.

В вопросе внедрения СЗИ, стоит отталкиваться от размеров организации и существующих бизнес-процессов. В основе защиты сети всегда лежит межсетевой экран. При его выборе следует обращать внимание на его пропускную способность (желательно закладывать возможность роста), возможность работы в кластере, является ли он NGFW. Зачастую для обеспечения лучшего уровня ИБ нужен межсетевой экран, который умеет работать на уровне приложений (L7). Наличие СОВ также не бывает лишним, т. к. злоумышленник может проникнуть в сеть через электронное письмо мимо МЭ, и именно СОВ позволит обнаружить его активность. Если предприятие имеет несколько офисов или же арендует помещение в бизнес-центре, то необходимо внедрить криптошлюзы для обеспечения безопасной среды передачи данных. Также любому крупному предприятию стоит задуматься об использовании NTA. Конечно, можно поставить NTA и в небольшой организации, но следует понимать, что это решение дорогое и требующее высоких компетенций от специалиста по ИБ. NTA позволит более тщательно анализировать проходящий трафик и повысит шансы выявления вредоносной активности. 

Ну и, конечно же, стоит реализовывать принцип нулевого доверия. Данный принцип предполагает полное отсутствие доверия кому-либо – даже пользователям внутри периметра. Каждый пользователь или устройство должны подтверждать свои данные каждый раз, когда они запрашивают доступ к какому-либо ресурсу внутри или за пределами сети. На российском рынке уже есть решения для быстрой реализации этого подхода, и его можно использовать на предприятиях любого размера.

Вне зависимости от поставленных задач, при подборе решений для защиты сетей нужно учитывать пропускную способность решения, а также количество и скорость интерфейсов (если это аппаратное решение).

Заключение

Импортозамещение, особенно в таких экстренных условиях, не может быть легким ни для одной из сфер деятельности. Однако тем, кто нуждается в защите своих корпоративных сетей беспокоиться не о чем. Отечественный рынок оказался готов к подобным переменам, и не только обладает всеми насущными решениями, но и постоянно готовит новые разработки. А для большей уверенности при подборе СЗИ, лучше обратиться к системному интегратору. Специалисты по ИБ возьмут на себя все заботы по выбору, поставке и внедрению решений вне зависимости от масштаба и нужд организации.

Автор: Михайлов Владислав, Начальник отдела внедрения «Астрал.Безопасность».

Об авторе Астрал.Безопасность

ГК “Астрал” — российская IT-компания, с 1993 года создает и внедряет прогрессивное программное обеспечение и решения на базе искусственного интеллекта. Астрал помогает коммерческим организациям и государственным структурам по всей России выбрать оптимальное ИТ-решение под их бизнес-задачи, бюджет и сроки.
Читать все записи автора Астрал.Безопасность

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *