Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
- Идентификация и контроль приложений по любому порту
- Идентификация и контроль попыток обхода защиты
- Расшифрование исходящего SSL и управляющего SSH трафика
- Контроль функций приложений и их подприложений
- Управление неизвестным трафиком
- Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
- Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
- Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
- Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложений
- Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе
2. Ваш межсетевой экран нового поколения должен идентифицировать и контролировать инструменты, позволяющие обходить средства обеспечения безопасности.
Скриншот: Сетевой трафик туннеля TCP-over-DNS. Зашифрованные данные передаются в поле Text. Обычный межсетевой экран видит этот трафик как DNS запросы.
Реальный
пример. Сегодня программисты специально пишут приложения, чтобы они обходили межсетевые экраны. Это им нужно для так называемого User Experience.
Программисты хотят, чтобы вам было удобно! Чтобы вы поставили skype и он сразу "засветился зелененьким". Вы получите удовольствие от того факта, что вам не потребовалось уговаривать администратора прописать правила на межсетевом экране, поскольку такие приложения находят и используют уже открытые поты для других приложений. Такими портами являются часто порты 80, 53, 123, 25, 110. Или же программа забирает и использует настройки прокси-сервера из браузера.
Современные средства защиты не идеальны. Их тоже пишут программисты. 20 лет назад при создании Интернет договорились, что для идентификации приложений будут использоваться порты. 80 - HTTP, 25 - SMTP, 21 - FTP и так далее. Ситуация изменилась: внутри этих портов могут ходить любые приложения. Изменились ли средства защиты? Могут ли они определить что по стандартному порту для HTTP (порт 80) сейчас идет другое приложение, отличное от HTTP?
Сейчас существует достаточный набор приложений в вашей сети которые можно использовать для целенаправленного обхода политик безопасности, защищающих вашу организацию. Как вы это контролируете?
К инструментам обхода средств безопасности относятся приложения двух классов — приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).
Программисты хотят, чтобы вам было удобно! Чтобы вы поставили skype и он сразу "засветился зелененьким". Вы получите удовольствие от того факта, что вам не потребовалось уговаривать администратора прописать правила на межсетевом экране, поскольку такие приложения находят и используют уже открытые поты для других приложений. Такими портами являются часто порты 80, 53, 123, 25, 110. Или же программа забирает и использует настройки прокси-сервера из браузера.
Современные средства защиты не идеальны. Их тоже пишут программисты. 20 лет назад при создании Интернет договорились, что для идентификации приложений будут использоваться порты. 80 - HTTP, 25 - SMTP, 21 - FTP и так далее. Ситуация изменилась: внутри этих портов могут ходить любые приложения. Изменились ли средства защиты? Могут ли они определить что по стандартному порту для HTTP (порт 80) сейчас идет другое приложение, отличное от HTTP?
Обход правил межсетевого экрана путем нестандартного использования стандартных портов.
Сейчас существует достаточный набор приложений в вашей сети которые можно использовать для целенаправленного обхода политик безопасности, защищающих вашу организацию. Как вы это контролируете?
К инструментам обхода средств безопасности относятся приложения двух классов — приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).
- Внешние прокси и
зашифрованные туннельные приложения (не VPN), оснащенные рядом методик маскировки,
специально используются для обхода средств обеспечения защиты. Поскольку
эти приложения изначально создаются для обхода средств безопасности и
поэтому способствуют рискам для бизнеса и защиты, они не имеют для вашей сети
никакой бизнес-ценности.
- Инструменты
управления удаленным сервером/рабочим столом, такие как RDP и Teamviewer, обычно
используются работниками служб поддержки и ИТ-специалистами в целях
повышения эффективности работы. Они также часто используются сотрудниками
организаций для подключения к домашним и другим компьютерам за пределами
корпоративной сети в обход межсетевого экрана. Злоумышленники прекрасно
знают об использовании таких приложений, и в официально публикуемых
отчетах Verizon Data Breach Report (DBIR) сообщалось о
том, что эти инструменты удаленного доступа использовались на одном или
нескольких этапах сетевых атак. И до сих пор используются.
Несут ли стандартные приложения в сети какой-то риск? Ведь и приложения для удаленного доступа, и многие зашифрованные туннельные приложения могут использоваться администраторами и сотрудниками.
Однако эти же инструменты все чаще используются злоумышленниками на разных
этапах в их сложных атаках. Примером такого инструмента в 2017 году является Cobalt Strike. Если организации не смогут контролировать
использование этих инструментов обхода средств безопасности, они не смогут
успешно выполнять политики безопасности и подвергнут себя всем рискам, для
защиты от которых эти средства безопасности предназначены.
Требования. Существуют различные
типы приложений обхода средств защиты, и методики, которыми оснащаются
приложения каждого из этих типов, слегка различаются. Существуют публичные и
частные внешние прокси, которые могут использовать и HTTP, и HTTPS. Например крупная база данных публичных прокси представлена на
сайте proxy.org (запрещен на территории РФ и должен быть запрещен в вашей корпоративной сети) Частные прокси часто
настраиваются на базе не классифицируемых IP-адресов (например, домашних компьютеров) с такими
приложениями, как PHProxy или CGIProxy. Такие приложения
удаленного доступа, как RDP, Teamviewer или GoToMyPC, имеют законное
применение, однако из-за дополнительного риска, который они вносят, должны строго контролироваться.
Большинство других приложений для обхода защиты (например, Ultrasurf, Tor, Hamachi) не имеют никакого бизнес-значения для вашей сети. Независимо от состояния
вашей политики безопасности, ваш межсетевой экран нового поколения должен быть
оснащен специальными методиками, позволяющими идентифицировать и контролировать
все перечисленные приложения, не привязываясь к конкретному порту, протоколу,
методу шифрования или другой тактике обхода.
И еще один важный момент: приложения, обеспечивающие обход средств защиты, регулярно обновляются, что еще больше затрудняет их выявление и контроль. Поэтому очень важно знать, как часто выполняется обновление и обслуживание функций контроля приложений, которыми оснащен ваш межсетевой экран.
Реальный пример. Используются ли стандартные протоколы на нестандартных портах в ваше сети? Может ли администратор переместить RDP со стандартного порта 3389 на другой порт? Может. Может ли HTTP ходить по другому порту отличному 80? Не только может, но и ходит. Может ли FTP сервер в Интернет работать на другом порту отличном от 21 - да таких огромное количество. Видят ли это ваши средства защиты. Если нет, то для сотрудника компании или хакера это стандартный ход для уклонения от проверок политик. Просто переместить FTP на порту 25 - окажется что ваше средство защиты думает, что это SMTP. Ваши сигнатуры IPS или антивируса работают только для порта 80 или 110 (POP3)? Злоумышленник передаст трафик на любой другой порт. Например 10000.
Требования. Ваш новый межсетевой экран должен проверять тип трафика по реальному контенту который передается внутри пакетов. Мир изменился: даже на входе в театр сейчас стоят рамки металлоискателей: показать свой номер ряда и кресла уже недостаточно. То же самое и в корпоративных сетях: нужно проверять содержимое сетевых пакетов, а не их заголовки. Ваш новый межсетевой экран должен уметь определять приложения по содержимому поля данных, причем на любых портах.
Пример: как работают туннели Cobalt Strike:
И еще один важный момент: приложения, обеспечивающие обход средств защиты, регулярно обновляются, что еще больше затрудняет их выявление и контроль. Поэтому очень важно знать, как часто выполняется обновление и обслуживание функций контроля приложений, которыми оснащен ваш межсетевой экран.
Обход сигнатурных движков перемещением стандартного протокола на другой порт.
Пример: как работают туннели Cobalt Strike: