Журнал "Information Security/ Информационная безопасность" #6, 2025

NGFW по-прежнему остается одним из основных элементов системы кибер- безопасности отечественных компаний. Однако сегодня заказчики рассматри- вают межсетевые экраны нового поко- ления не как монолитное решение, кото- рое замыкает всю защиту на себе, а, ско- рее, как немаловажный, но дополни- тельный элемент в организации ком- плексной системы информационной без- опасности. Нередко моделью комплекс- ной корпоративной безопасности высту- пает SOC – подразделение ИБ-департа- мента, которое отвечает как за опера- тивный мониторинг ИТ-среды, так и за реагирование на киберинциденты. Часто центр мониторинга фактически отождествляют с SIEM-системами, что не совсем корректно, ведь SOC – это модель организации системы безопас- ности, в то время как SIEM представляет собой конкретное решение. Тем не менее SIEM-система действительно важна, ведь она выступает ядром всего SOC-центра. SOC имеет разные формы построения, которые во многом зависят от уровня ИБ-зрелости самой компании. Так, на низком уровне SOC представляет собой SIEM-систему в сочетании с логирова- нием и несколькими стандартными ИБ- продуктами, которые с ней интегрируют- ся. Базовое сочетание – это NGFW, система обнаружения и предотвращения вторжений (IDS/IPS), плюс антивирус. Самый топовый уровень подразумевает полную автоматизацию, где все процес- сы регламентированы на документаль- ном уровне и имеют практическую реа- лизацию как с точки зрения автомати- зированного реагирования на инциден- ты, так и с точки зрения реакции самих ИБ-сотрудников. Как могут работать NGFW и SOC NGFW находится на периметре сети, где решает задачи по фильтрации тра- фика: l какой трафик запретить/разрешить; l какие приложения могут использовать пользователи сети; l обнаружение атак. NGFW собирает данные по всем собы- тиям трафика, затем логирует и переда- ет в SIEM-систему для анализа. Этот процесс в крупных SOC проходит в четыре этапа, включая подготовитель- ный. Рассмотрим их подробнее. Нулевой этап: оптимизация логирования на уровне NGFW NGFW передает логи в SIEM-систему, поэтому четкость ее работы будет зави- сеть от того, насколько эти логи полны и сколько занимают места. В крупных компаниях за день может легко набежать 100 Гбайт логов – довольно большой объем и для NGFW, и для SIEM. Во-пер- вых, это скажется на производительно- сти, во-вторых, весь массив надо как-то анализировать. Возникает дилемма: большой объем логов дает высокую информативность, но их тяжелее обра- батывать; малое количество логов проще обработать, но тогда пострадает информативность. Важно найти баланс между информативностью и производи- тельностью. Часто, чтобы не страдала информативность, прибегают к методам оптимизации логирования. Для этого существует несколько базо- вых рекомендаций: например, можно передавать в SIEM-систему только необходимые правила. Специалисты "Кода Безопасности" в ближайшее время планируют выпустить документ по мони- торингу на NGFW, в котором будет ука- зано, какой трафик необходимо логиро- вать в первую очередь, а какой может быть на вторых и третьих ролях. Необходимо также определить, как именно логи будут передаваться в SIEM- систему. Например, можно добавить еще один механизм оптимизации – про- межуточный NetFlow-анализатор. Как это работает: часть трафика с NGFW передается на коллектор, который ана- лизирует его до SIEM-системы и пере- дает в виде некоторой статистики. Цель NetFlow – снизить объем обрабатывае- мого трафика за счет сэмплирования. Иными словами, решение работает с потоками трафика, объединяя несколь- ко событий по классам. Скажем, сколько длилась сессия, когда она началась, когда закончилась и т. д. В целом боль- шой объем разрешенного L4-трафика – хороший кандидат для NetFlow, посколь- ку с помощью него можно убрать шум и значительно повысить производитель- ность. Ведь доля разрешенного трафика составляет около 70%, поэтому его сжа- тие крайне необходимо. А уже следом можно передавать проанализированные данные с NetFlow на дальнейшую обра- ботку в SIEM. В меньшей степени для направления в NetFlow подойдет трафик, запрещен- ный механизмами безопасности (IDS/IPS, AV), – его лучше оставить для NGFW, поскольку он критичен для эффективной работы систем информа- ционной безопасности. Первый этап: экспорт логов в SIEM и корреляция Экспорт может идти и от NGFW, и напрямую от NetFlow – в зависимости от нужного уровня детализации событий, ведь в конечном счете логи в полном объеме все равно попадают в SIEM, где анализируются и классифицируются в качестве инцидента ИБ или обычного события. Здесь NGFW может помогать 38 • СПЕЦПРОЕКТ Интеграция NGFW в SOC: особенности и нюансы омпании все меньше закупают модные, но одиночные ИБ- решения, и тщательнее продумывают сочетания продуктов, которые придают системе безопасности прочность, – ком- плексная система кибербезопасности становится все популяр- нее. Один из элементов комплексной организации защиты – интеграция NGFW в SOC. К Дмитрий Лебедев, ведущий специалист отдела продвижения продуктов “Кода Безопасности”, эксперт по сетевой безопасности Фото: Код Безопасности