Журнал "Information Security/ Информационная безопасность" #4, 2024

Скорость ответа на заявку о входящей угрозе – это первый фронт срабаты- вания поддержки, но есть и другие. Одна из фундаменталь- ных проблем NGFW – баланс между безопас- ностью и производитель- ностью. Файрволы нового поколения могут создавать узкие места в сети при неправильной настройке. NGFW отличаются от традиционных файрво- лов тем, что работают на уровне приложений, а не портов и протоко- лов, поэтому и подход к их тех- нической поддержке должен быть соответствующим – тех- поддержка должна разбираться не только в сетевых протоколах, но и в современных веб-прило- жениях, облачных сервисах и мобильных платформах. Кроме того, NGFW часто интег- рируются с системами анализа угроз и репутационными базами данных, что требует постоянно- го обновления и настройки. Почему техподдержка критически важна для NGFW Когда речь заходит о без- опасности, самое важное – опе- ративность реакции на угрозу. Это понятие комплексное и оно должно оцениваться на разных уровнях абстракции. Конечно, банальная скорость ответа на заявку о входящей угрозе – это первый фронт срабатыва- ния поддержки, но есть и дру- гие. Например, менее очевидный момент – скорость замены обо- рудования. Она может потре- боваться при резком росте нагрузки на сеть, обнаружении угроз, физическом поврежде- нии устройства. Скорость заме- ны критически важна, потому что любой простой в работе файрвола создает окно уязви- мости. Если на время простоя изолируются связанные с открывающейся угрозой биз- нес-процессы, то организация может понести финансовые и репутационные потери. Второй, менее очевидный и особенно болезненный для российских вендоров момент – доступность информации. Часто документация к реше- нию размещена на внутренних порталах поставщиков NGFW. Конечно, у каждой серьезно относящейся к ИБ компании на экстренный случай заготов- лены протоколы действий для всех вовлеченных сотрудников. Но в случае реальной ком- плексной атаки организация переживает шоковое состоя- ние. А во время нестандартно- го нападения специалист дол- жен "действовать в соответ- ствии с документацией постав- щика", которую можно полу- чить лишь по запросу. Замечу, что у зарубежных вендоров эта информация всегда нахо- дится в открытом доступе. То же касается соглашений об уровне обслуживания (SLA) – иногда ИБ-специалисты компа- нии не могут быстро получить квалифицированную помощь от вендора для настройки NGFW под новый вектор атаки. Время реакции растягивается на часы, а то и дни. За это время атака может нарушить работу крити- ческих сервисов компании, вызвать утечку данных или пройти этап закрепления и открыть путь для более серь- езного вторжения. Автоматизация рутины и разработка гайдов Одна из фундаментальных проблем NGFW – баланс между безопасностью и производи- тельностью. Файрволы нового поколения могут создавать узкие места в сети при непра- вильной настройке. Часто воз- никают проблемы с ложными срабатываниями, особенно при использовании функций IPS (системы предотвращения втор- жений). Техподдержка должна уметь тонко настраивать пра- вила и политики, чтобы мини- мизировать количество ложных срабатываний без ущерба для безопасности. Техническая поддержка зару- бежных компаний совершен- ствовалась и оттачивалась годами. Можно создать идеаль- ный проект в теории, но пока не набьешь шишек на реальных кейсах защиты инфраструкту- ры, уязвимости будут оставать- ся. А значит – их будут обнару- живать и использовать зло- умышленники. В российской практике таких случаев множество, хотя они редко предаются огласке. Есть реальные кейсы, когда внедре- ние затягивалось больше чем на год. Столкновение теории, в которой все работает, и реаль- ной архитектуры с уникальными особенностями не всегда выдерживает проверку опытом. На совершенствование алго- ритмов поведения сотрудников техподдержки российских вен- доров уйдет минимум два года. 52 • ТЕХНОЛОГИИ Быстро и по инструкции: как настроить техподдержку решений NGFW GFW (Next Generation Firewall) – не просто очередной сетевой экран, это комплексное решение, объединяющее функции традиционного файрвола с продвинутыми возможностями обнаружения угроз, предотвращения вторжений и глубокого анализа пакетов. Сложность системы и ее критическая важность для инфраструктуры компании задают особенные требования к техподдержке. N Алмаз Мазитов, эксперт по развитию бизнеса ИТ-компании Innostage Фото: Innostage