Журнал "Information Security/ Информационная безопасность" #6, 2024

Контроль приложений и протоколов Важный аспект для любого NGFW – анализ широкого спектра приложений и протоколов. Некоторые приложения могут содержать критические уязвимо- сти, которые злоумышленники исполь- зуют для атак. Например, если есть риск доступа к такому приложению извне, лучше полностью ограничить соответствующий трафик. Аналогично существуют прикладные протоколы, рас- шифровка которых на текущий момент вызывает сложности. Блокировка подоб- ных протоколов помогает предотвратить угрозы, обеспечивая доступ к веб-ресур- сам только через безопасные стандарты, такие как HTTP 2.0. Важно учитывать множество сцена- риев, связанных с приложениями и про- токолами, и обеспечивать их поддержку на максимально широком уровне. В "Лаборатории Касперского" развитием базы приложений занимается отдельная команда. Сейчас мы активно собираем обратную связь от заказчиков, тести- рующих Kaspersky NGFW, чтобы понять, какие приложения следует добавить в ближайших обновлениях. Особое внимание уделяется базе и движку DPI, которые полностью разра- ботаны "Лабораторией Касперского". Собственные технологии дают нам пре- имущество: мы можем гибко и оперативно реагировать на запросы заказчиков, и если возникает необходимость добавить новый протокол, мы способны сделать это уже в следующем релизе. Такой под- ход позволяет нам избегать зависимости от партнеров и их планов, так как все раз- работки находятся под нашим контролем. Независимость и оперативность – наше преимущество, которое, без сомне- ния, привлекает внимание рынка и дела- ет решения "Лаборатории Касперского" особенно востребованными. Песочница В составе Kaspersky Anti-Targeted Attack (KATA) предусмотрена мощная песочница, и уже в следующем релизе Kaspersky NGFW мы планируем реали- зовать интеграцию с ней. Взаимодей- ствие будет осуществляться через API, а не с помощью протокола ICAP, как делает большинство производителей. Хотя ICAP считается надежным и прове- ренным решением, у него есть недо- статки, в частности, длительное время передачи файлов на анализ. В условиях высокой динамики современных угроз такая задержка может стать критичной. Категоризации URL Качество веб-категоризации – ключе- вой аспект, который не всегда удается обеспечить на должном уровне, особен- но если производители используют упро- щенные подходы. Например, некоторые решения ограничиваются анализом домена, а не конкретного URL. Такой метод действительно повышает про- изводительность, так как нет необходи- мости проводить SSL-инспекцию, однако это негативно влияет на точность. Наш подход к веб-категоризации дру- гой. Мы анализируем именно URL, используя механизм SSL-инспекции для расшифровки трафика, чтобы точно определить, к какой категории относится конкретный ресурс, даже если он рас- положен в рамках большого домена. Модуль веб-категоризации и веб- фильтрации является адаптированной версией решения, уже проверенного на практике в наших Endpoint-продуктах. Мы оптимизировали его для работы с потоками трафика, проходящими через NGFW, сохранив при этом те же базы данных. Наш веб-категоризатор неодно- кратно признавался одним из лучших в мире по качеству классификации и детекции, и это подтверждается дове- рием пользователей – замечания по его работе практически отсутствуют. Сейчас модуль предлагает предуста- новленный набор категорий, к которым можно применять различные действия: блокировать доступ, предупреждать пользователя о нежелательности ресурса или разрешать посещение. Все события фиксируются и отображаются в консоли управления, предоставляя администра- тору полный контроль и прозрачность. Дополнительно предусмотрена возмож- ность создания пользовательских веб- категорий, что полезно в случаях, когда стандартная категоризация не полностью соответствует потребностям компании. Веб-категоризатор интегрирован с облаком Kaspersky Security Network для доступа к постоянно обновляющейся базе данных. Расшифровка трафика Расшифровка трафика, которую мы реализовали в Kaspersky NGFW, ставит нас в ряд ведущих российских вендоров NGFW. Расшифрованный трафик направляется на все механизмы без- опасности в составе решения. Для заказчиков это особенно важно, поскольку невозможность проверки рас- шифрованного трафика, например, анти- вирусом или IDPS создает серьезные риски. Мы поддерживаем все актуальные версии протокола TLS, включая 1.3, что позволяет нам работать с самыми совре- менными стандартами шифрования. Оптимизация IDPS В первоначальном релизе Kaspersky NGFW поддерживалось около 6 тыс. сигнатур в базе IDPS. Этот объем мы считали достаточным для бета-тестиро- вания и пилотных внедрений. Однако благодаря результатам пилотов и обрат- ной связи, база была расширена до 27 тыс. сигнатур, что значительно повы- сило качество детекции. Эту базу под- держивает и постоянно обновляет наше подразделение Anti-Malware Research. Разумеется, увеличение количества сигнатур может влиять на производи- тельность системы. Именно здесь нам помогает то, что движок IDPS в Kaspersky NGFW – это собственная разработка. Мы имеем полный доступ к его коду и можем оперативно вносить изменения, оптимизируя его работу. Процесс выглядит следующим обра- зом: после увеличения базы сигнатур мы анализируем влияние на производи- тельность и, если это необходимо, опти- мизируем код движка. В зависимости от степени критичности, обновления с улучшенной производительностью выпускаются либо в следующем релизе, либо оперативно в рамках патча. Таким образом, каждая новая версия IDPS ста- новится не только более функциональ- ной, но и максимально эффективной, сохраняя баланс между качеством защи- ты и скоростью работы. DNS Security DNS Security – это механизм, обес- печивающий проверку DNS-трафика, про- ходящего через Kaspersky NGFW, по репутационной базе. Если домен, к кото- рому осуществляется запрос, числится вредоносным или связан с командно- контрольными серверами (C&C), система принимает меры: это может быть блоки- ровка запроса, уведомление через SIEM- систему о попытке обращения, либо пере- направление запроса на специально настроенный DNS-сервер для синк-хола. Хотя механизм DNS Security напоминает URL-категоризацию, он реализует совер- шенно другой подход. DNS Security рабо- тает исключительно с доменами, в то время как URL-категоризация анализи- рует полный путь и предоставляет более глубокий уровень детализации. Некото- рые производители, особенно западные, объединяют такие компоненты, мы же решили разделить эти функции, выделив DNS Security в отдельный модуль. В заключение На данный момент Kaspersky NGFW проходит бета-тестирование в формате ПАК с участием небольшой фокус-груп- пы. Мы собираем обратную связь, выявляем возможные доработки, уточ- няем дорожную карту развития продукта и, конечно же, проверяем работу Kas- persky NGFW в реальных условиях на боевом трафике. Полноценный коммер- ческий релиз Kaspersky NGFW в фор- мате ПАК намечен на III квартал 2025 г. А на начало 2025 г. запланирован выпуск виртуальных аплайансов, совме- стимых с зарубежными гипервизорами. К 2026 г. мы планируем реализовать под- держку отечественных гипервизоров, что важно в эпоху активного перехода заказ- чиков на отечественные ИТ-решения. l • 17 NGFW www.itsec.ru На правах рекламы Ваше мнение и вопросы присылайте по адресу is@groteck.ru