Денис Батранков, Positive Technologies: Искусственный интеллект — следующая ступень развития межсетевых экранов

Денис Батранков, евангелист по сетевой безопасности в Positive Technologies, рассказал, в чем специфика межсетевых экранов нового поколения (NGFW), почему их так много на рынке и в чем особенность эксплуатации NGFW в «дикой природе».

Cyber Media: Почему так много NGFW на рынке? 

Денис Батранков: Продуктов много, потому что сегодня есть возможность собрать из open source похожее на NGFW решение. Многие так делают и пытаются продавать. Но такие разработчики забывают, что для эффективных и надежных NGFW необходима экспертиза из свежих правил, которую в режиме 24/7 контрибьютят специалисты из исследовательских лабораторий. Итого из примерно 100 разработчиков межсетевых экранов нового поколения во всем мире, по моему мнению, действительно топовых — 5.

Плюс клиенты — банки, ритейл, государственные организации — ожидают высоких скоростей. В среднем около 10 гигабит в секунду. Выяснилось, что устройств с такой производительностью до сих пор не было у российских производителей, но надо сказать, что и на мировом рынке их тоже долгое время не было. И только когда лидеры рынка решили задачу запуска всех движков безопасности на высоких скоростях, NGFW стали очень востребованы.

Если вы посмотрите сегодня на предложения на рынке, то почти все измеряют свою производительность с выключенным функционалом. По сути, показывают, что они быстрые маршрутизаторы. А производительность с включенными модулями защиты пока что стесняются публиковать.

Cyber Media: Существует ли единый стандарт, который описывает минимальные требования, при соблюдении которых продукт можно отнести к NGFW?

Денис Батранков: Все производители понимают, что NGFW должен контролировать соединения между сегментами сети на основе более глубокого анализа трафика и понимания дополнительного контекста: что за пользователь сейчас подключается, в какую страну, какие файлы передает, нет ли в трафике атак или вредоносного кода. Раньше эти задачи решало несколько разных устройств. Затем их стали объединять в модуль с множеством аналогичных функций с единым управлением и назвали unified threat management (единое управление всеми движками безопасности) — UTM. А уже подмножество UTM с функциональностью написания политик безопасности по имени приложения и имени пользователя — это известный нам класс NGFW, который, в свою очередь, отличает то, что все имеющиеся движки безопасности можно включить одновременно на высоких скоростях.

Cyber Media: Ряд компаний говорили о том, что их NGFW органично выросли из других классов решений, например из proxy, firewall. На Ваш взгляд, какие преимущества и подводные камни есть у такого подхода?

Денис Батранков: NGFW — это очень сложное устройство, потому что некоторые движки иногда даже противоречат друг другу, и надо постараться, чтобы их объединить. Действительно, многие производители раньше делали что-то другое: у Check Point сначала был обычный межсетевой экран, Fortinet создал сначала UTM, обычный портовый межсетевой экран, совмещенный с IPS. Эти производители в уже имеющийся код добавляли новый, хотя изначально движок не предполагал этих новых функций. А как известно, когда год за годом добавляется новая функциональность, код становится невозможно оптимизировать.

Те производители, которые сразу писали движок NGFW, лучше понимали цель. Например, так сделали Palo Alto Networks — писали новый firewall с нуля. Определили функциональность, которая требовалась заказчикам, и написали изначально адаптированный под эти задачи код. Это абсолютно другие подход, качество и скорость. У нас также есть четкое понимание конечной цели, и мы разрабатываем для этого фундамент, который даст нам наращивать базовые и дополнительные функции без потери производительности.

Мы вступили в эту гонку позже, поэтому можем учесть ошибки конкурентов, в том числе и иностранных, взять лучшие практики, и написать код на заранее правильно выбранную архитектуру оборудования. При этом мы изначально избежали аппаратных ограничений в виде узкоспециализированных чипов и используем на полную катушку общедоступные аппаратные платформы с определенными характеристиками. Плюс еще на этапе разработки идеи мы продумали всевозможные варианты использования NGFW.

Cyber Media: Есть ли у NGFW «национальная специфика»? Насколько близки друг другу российские, западные и, например, азиатские решения?

Денис Батранков: Все NGFW отличаются экспертизой. Должна быть команда, разрабатывающая правила для IPS. У нас в Positive Technologies — это команда экспертного центра безопасности (PT Expert Security Center). Плюс «под капотом» необходима база российских приложений. Важно идеально знать российские веб-ресурсы и поддерживать наименования сайтов на русском языке (обычно они записываются в виде .рф). Необходимо пройти нашу сертификацию, что не всем под силу, — у иностранных NGFW нет поддержки российского алгоритма шифрования ГОСТ. 

Важным отличием сегодня является и аппаратная начинка. В текущих геополитических условиях для нас недоступны некоторые специализированные чипы, которые есть у зарубежных решений. На данный момент отечественные сервера в большинстве своем отстают от западных и имеют оборудование, шины и процессоры предыдущего поколения. Ожидаю, что со временем это изменится.

Еще одна особенность российских NGFW — требование делать VPN на российском алгоритме ГОСТ, когда во всем мире используют международный стандарт AES. Поэтому для интеграции в сеть для наших межсетевых экранов нужна поддержка и AES, и ГОСТ.

Cyber Media: Если говорить о клиентах, то каким они видят идеальный NGFW и насколько их ожидания соотносятся с сегодняшним рынком?

Денис Батранков: Клиентам нужны надежность, удобство и производительность. Они хотят иметь качественную систему предотвращения атак.

Важна расшифровка SSL-трафика, но ее редко кто использует, потому что в таком случае сильно просаживается производительность. И также требуется очень много тюнинга, например у одного моего клиента получилось расшифровать только 50% трафика, потому что SSL не так прост в расшифровке.

Кроме этого, ожидают и наличие функциональности Zero Trust Network Access. Она позволяет обеспечить более надежную защиту от тех, кто работает на удаленке и часто ловит вредоносный код, сидя дома.

Cyber Media: Как концепция Zero Trust Network Access соотносится с NGFW в целом? 

Денис Батранков: Раньше по VPN в сеть подключались только администраторы, допустим десять человек. А эпидемия COVID-19 изменила ситуацию кардинально. Людей отправили по домам, и внезапно вместо десятка человек по VPN стали подключаться сразу тысячи сотрудников компании.

И тут возникло сразу несколько проблем. Пошли заражения вредоносным ПО с личных устройств сотрудников. Поставили VPN-клиенты на домашние компьютеры, подключились в сеть компании, а у них на личных устройствах и шифровальщики, и системы слежения. И получили взрывной рост угроз безопасности от своих же сотрудников, которым в классической «офисной» сети привычно доверяли.

Появилась задача: своим же сотрудникам не просто дать сетевой доступ, а еще и внедрить дополнительные проверки (когда применяется Zero Trust Network Access, в VPN-клиент добавляется функциональность проверки). Например, компания, используя ZTNA, может проверять наличие антивируса или EDR-решения, работу локальных бэкапов, своевременно ставить патчи и так далее. Чтобы эта система работала, необходима дополнительная функциональность в самом межсетевом экране нового поколения и у VPN-клиента на рабочей станции.

Cyber Media: На Ваш взгляд, стоит ли в ближайшем будущем ожидать, что в каких-то других классах решений появятся продукты с приставкой NG?

Денис Батранков: Скорее AI. Сейчас тренд в информационной безопасности — это artificial intelligence. Во многих NGFW уже используется machine learning для выявления хакерских атак — так же, как и в других продуктах. И, по сути, многие NTA, sandbox, WAF уже стали NG — то есть сильно умнее, чем раньше.

AI может изучить обычное поведение сотрудника, а потом отслеживать его. Если сотрудник будет совершать странные действия, то специалисты по ИБ получат соответствующее уведомление. Один человек не может каждый день отслеживать и анализировать поведение всех пользователей, а AI может.

Так, хакеры стали часто воровать аккаунты сотрудников и получать доступ в сети от их имени. Например, такое случилось с Uber и Cisco. В случае с Uber мошенник использовал социальную инженерию и узнал пароль и логин одного из сотрудников компании, попал во внутреннюю систему и получил доступ к переписке, электронным адресам сотрудников и облачным данным. Злоумышленники, взломавшие Cisco, заявили, что украли конфиденциальные документы, включая чертежи сетевых устройств. Причем в обеих компаниях была двухфакторная аутентификация, но она не настолько надежная, как про нее думают (для интереса рекомендую изучить, как обходят MFA).

Как в таком случае отличить сотрудника от хакера, если, как и прежде, специалист работает через VPN с одним и тем же логином и паролем и совершенно легитимно правит исходные коды или делает платежки совершенно легитимными утилитами? Никакие системы защиты, которые обнаруживают вредоносную активность, не могут определить злоумышленника в таком случае, потому что формально он не делает ничего вредоносного. Когда, например, он заходит от лица финансиста и скачивает всю финансовую базу компании или с аккаунта программиста выкачивает все исходные коды компании, с точки зрения систем защиты эти действия не выглядят странными. Поэтому их можно выявить только по аномальному поведению.

Такая функциональность есть в NGFW и в других классах продуктов, например, NTA, SIEM, автопилотах для результативной кибербезопасности. Я считаю, что за глубоким внедрением ИИ — будущее кибербезопасности.