Журнал "Information Security/ Информационная безопасность" #6, 2023

того, нагрузку на вычислительную систему можно снизить, интегрировав внешние системы контентной фильтра- ции. Разработаны протоколы взаимо- действия "клиент – сервер" для реали- зации подобной схемы, такие как ICAP, OPES, WCCP. В частности, через ICAP можно направить трафик на сервер антивируса. Невероятный объем технологий Вторая проблема – усложнения устрой- ства и технологий не может быть решена легко. Развитие и обновление техноло- гий происходят настолько быстро, что за время обучения студента технологии порой теряют свою актуальность. И не всякая компания может себе позволить содержать и обучать дорогостоящего сотрудника. Некоторые организации в итоге отказываются покупать дорого- стоящее сложное оборудование, которое требует постоянного высококвалифици- рованного обслуживания, либо передают обслуживание на аутсорсинг, что чревато рисками утечек данных (защищенность небольших подрядчиков может оказать- ся не на высоте). Крупные вендоры не стоят на месте и вкладываются в разра- ботку нейронных сетей и искусственного интеллекта (ИИ). Используются принци- пы ZTP (Zero Touch Provisioning), что значительно облегчает начальную настройку и развертывание сложных систем. Перспективы развития устройств безопасности периметра Печально, но безопаснее Интернет не становится. С каждым годом растет число инцидентов с утечками данных, взломами, массовыми атаками, фишин- говыми сайтами. Какими же средствами нужно обладать, чтобы достойно встре- тить угрозы будущего? Что мы можем ожидать от развития устройств безопас- ности? Развитие NGFW сейчас пойдет по пути интеграции процессов. Поскольку одного NGFW как пограничного устрой- ства будет недостаточно для парирова- ния всех угроз, он станет частью общей системы, которая будет контролировать периметр безопасности в целом. NGFW как класс устройств или систем станет пограничным устройством, которое включает в себя функции файрвола, роутера и других сервисов, которые можно и нужно разместить на погранич- ном устройстве. Функции обработки и анализа трафика, возможно, будут вынесены за рамки одного устройства посредством тех же ICAP- или OPES- протоколов. Общая система безопасно- сти будет включать в себя операционный центр SOC, который будет анализиро- вать поступающую информацию и управ- лять всей структурой контура безопас- ности. Возможен вынос SOC за периметр безопасности организации с помощью VPN-канала. Смысл в том, что SOC может использовать автоматизацию на основе технологии ИИ и Big Data для выявления и решения проблем. В этом случае данные стекаются в единый облачный операционный центр, где обрабатываются и анализируются. Подобную структуру мы можем увидеть у западных производителей, например Juniper Apstra. Такая система позволяет значительно упростить и сократить время развертывания сетевой инфра- структуры. Источниками информации могут быть: l пограничные устройства, где зафик- сированы события нарушения перимет- ра, например в виде DDoS-атак; l внутренние коннекторы, где фикси- руются инциденты неудачной авториза- ции и компрометации данных пользова- телей, нарушения правил безопасности пользователем в использовании сторон- него программного обеспечения, нестан- дартный характер трафика и факты ска- нирования внутренней сети и т.д. Чтобы собирать подобную информа- цию, нужно построить контролируемую среду на всех сетевых устройствах, кли- ентских устройствах и серверных систе- мах в виде программных агентов, кол- лекторов трафика. Учитывая огромные объемы информации, потребуется систе- ма анализа и реагирования на угрозы в ручном, полуавтоматическом и авто- матическом режиме на основе искус- ственного интеллекта. Набор технологий для комплексного анализа и реагирова- ния сегодня представлен такими систе- мами, как SIEM, SOAR и XDR. При этом для полноценной работы последней необходима связка с NGFW: 1. Реакция на некоторые инциденты должна быть автоматической и самой быстрой, например открытие blackhole на DDoS-атаку, деактивация учетной записи скомпрометированного пользо- вателя, предотвращение утечки данных. 2. Полуавтоматический режим пред- полагает выбор и принятие решения оператором по заранее разработанным шаблонам реакций на инцидент. 3. Ручной режим подразумевает при- нятие во внимание, повышенное наблю- дение, сопровождение инцидента. Сложность такого комплекса безопас- ности возрастет многократно, поэтому инсталляцию системы и ее обслужива- ние нужно максимально упростить за счет функциональных возможностей "из коробки". Система должна практически самостоятельно разворачиваться, ана- лизировать и интуитивно подключать модули в виде агентов, сборщиков и ана- лизаторов трафика, пограничных устройств и т.д., но, кроме того, она должна быть самообучаема. NGFW в России Из-за санкционной политики западных стран российский рынок столкнулся с необходимостью быстрого импортоза- мещения ИБ-решений, что, в свою оче- редь, открывает перед нами определен- ные возможности. Сегодня российским разработчикам брошен вызов – пройти этап разработки NGFW в сжатые сроки, в то время как западные вендоры потра- тили на него более 10 лет. Прошло не так много времени, но уже сейчас видно, что есть ряд компаний, которые рабо- тают в этом направлении. Совокупность разработок и их интег- рация в единый комплекс безопасно- сти в ближайшем будущем позволят определить лидера в российском сег- менте. Для бизнеса решающую роль будет играть скорость в режиме меж- сетевого экрана, отказоустойчивость, масштабируемость и удобство исполь- зования. Несмотря на то что задача разработки решения NGFW отнюдь не тривиальна, мы уже видим яркие отечественные релизы, и эта гонка только начинается. l • 17 NGFW www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru