Журнал "Information Security/ Информационная безопасность" #6, 2023

Ошибка 1. Особенности национальной защиты Современные межсетевые экраны, хотя и называются межсетевыми экранами нового поколения, но это решение на рынке уже совсем не новое. В 2005 г. среди производителей межсетевых экра- нов появился новый игрок – компания PaloAlto, продукты которой отличались от классических решений. Они позволяли строить политики безопасности, учиты- вающие конкретного пользователя и при- ложение. Злоумышленникам стало гораз- до сложнее – ведь теперь межсетевой экран детально изучал весь пакет и опре- делял специфику передаваемых данных. С тех пор возможность определять приложения в межсетевом экране являет- ся стандартом, но сегодня российский рынок столкнулся с реальной опасностью потерять это преимущество в связи с уходом зарубежных игроков, который влечет за собой регресс в развитии сете- вой безопасности. Эта опасность не пре- увеличена, потому что используемые приложения сильно зависят от конкрет- ного региона и принятых в стране стан- дартов защиты информации. Российские разработчики приложений заявляют о своем доминировании над иностранными аналогами на локальном рынке, при этом зарубежные межсетевые экраны попро- сту не распознают российские продукты. Субъективно можно выделить две основные причины потери эффективно- сти работы с приложениями. 1. Для западных производителей рос- сийские приложения никогда не были в фокусе внимания, хотя многие и добав- ляли их в базы знаний своих продуктов. С уходом иностранных решений с рос- сийского рынка необходимость попол- нения базы специфичной информацией исчезла. Все больше и больше компаний начинают замечать проблемы в опреде- лении данных конкретных приложений зарубежными межсетевыми экранами. 2. Используемая база данных прило- жений не актуальна или не отвечает требованиям конкретной компании. Более того, ландшафт современных угроз требует от межсетевых экранов не только распознавать приложение, но и определять, какое конкретное действие в приложении совершает тот или иной пользователь. Чем больше развиваются пользовательские приложения, тем выше потребность в гранулярном конт- роле. Так, мы можем разрешить поль- зователям общаться в социальных сетях, но запретить прослушивание музыки или пересылку файлов из корпоративной сети. То же самое касается облачных хранилищ: вполне логично разрешить загрузку файлов из облака, а вот выгруз- ку больших объемов корпоративных дан- ных во внешнее хранилище лучше запре- тить. Ошибка 2. Сигнатуры второй свежести Всем нам легко понять необхо- димость постоянных обновлений антивируса. Если база данных угроз не актуальна, то не важно, насколько продвинутые технологии анализа он использует, – эффек- тивность его работы будет очень низкой. С NGFW история аналогичная. База данных угроз должна своевременно обновляться, а за добавление актуаль- ной информации об обнаруженных уязвимостях в продукты отвечает про- изводитель межсетевого экрана. У большинства крупных разработчиков NGFW есть целые исследовательские центры, задача которых – следить за актуальными угрозами в мире и опера- тивно дополнять базу сигнатур. Напри- мер, в Positive Technologies это PT Expert Security Center (PT ESC) 2 . Недав- но был опубликован внушительный спи- сок уязвимостей приложения 1С-Бит- рикс 3 . Практически сразу PT ESC отреа- гировал на эту публикацию и обновил базы сигнатур для защиты от актуаль- ных угроз информационной безопас- ности. Согласно исследованию Positive Technologies, только 16% из опро- шенных ИТ- и ИБ-специалистов удовлетворены качеством имею- щихся на рынке российских межсе- тевых экранов нового поколения 1 . Совет: проверьте, распознает ли ваш существующий или рассмат- риваемый для покупки межсетевой экран приложения, которые вы используете для работы бизнеса. Особое внимание уделите прило- жениям, специфичным для россий- ского рынка. Изучите возможности межсетевого экрана по определе- нию конкретных действий пользо- вателей в приложении. Совет: проверьте, как быстро выходят обновления сигнатур для используемого или планируемого для покупки межсетевого экрана, есть ли в базе знаний данные об актуальных угрозах последнего времени и есть ли у производите- ля возможности оперативного реагирования. Не доверяйте сиг- натурам и продуктам Open Source с такими базами, если не обла- даете достаточной экспертизой в их валидации. 34 • СПЕЦПРОЕКТ Пять главных ошибок при выборе NGFW аш опыт по аудиту защищенности компаний от киберугроз показывает, что правильно настроенный, надежный и стабильно работающий межсетевой экран нового поколения является эффективным средством защиты от злоумышленников. Но мы также часто встречаем и фактически бесполезные NGFW, обой- ти которые не составило бы труда даже неопытному хакеру. Причины – ошибки в настройках, версиях программного обес- печения, используемых профилях защиты, а иногда и в выборе самого устройства. Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и при этом успешно справлялся с базовыми сетевыми задачами? Н Анна Комша, руководитель практики NGFW в Positive Technologies 1 С полной версией исследования “Какой NGFW нужен российским компаниям” можно ознакомиться на сайте Positive Technologies в разделе “Исследования > Аналитические статьи”. 2 https://www.ptsecurity.com/ru-ru/services/esc/ 3 https://www.1c-bitrix.ru/vul/