5/10 Ваш межсетевой экран нового поколения должен управлять неизвестным трафиком.
Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
- Идентификация и контроль приложений по любому порту
- Идентификация и контроль попыток обхода защиты
- Расшифрование исходящего SSL и управляющего SSH трафика
- Контроль функций приложений и их подприложений
- Управление неизвестным трафиком
- Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
- Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
- Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
- Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложений
- Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе
5. Ваш межсетевой экран нового поколения должен управлять неизвестным трафиком.
Реальный пример. В сети существует трафик, который не получается идентифицировать по его содержимому. Будем называть его неизвестным трафиком. В небольших количествах неизвестный трафик присутствует в каждой сети, при этом даже незначительный неизвестный трафик представляет существенный риск для вашей организации. Нам нужно понимать кто этот трафик создает и зачем! Существует целый ряд важных факторов, имеющих отношение к неизвестному трафику, которые следует учитывать: можно ли его хоть как-то классифицировать, можно ли сократить его до минимума, используя политики безопасности, может ли ваш межсетевой экран легко определять самописные пользовательские приложения так, чтобы они переходили в категорию известных приложений и могли указываться в вашей политике безопасности, и способен ли ваш межсетевой экран определить, представляет ли неизвестный трафик угрозу?
Неизвестный трафик тесно связан с сетевыми угрозами. Злоумышленники часто модифицируют потоки данных, чтобы воспользоваться недостатками нужного приложения.
Например, для атаки на веб-сервер злоумышленнику может потребоваться изменение заголовка HTTP, в результате которого трафик больше не будет идентифицироваться как веб-трафик. Подобная аномалия может служить ранним свидетельством атаки. Вредоносное ПО также часто использует свои собственные или модифицированные протоколы для связи с командным центром, что позволяет специалистам по безопасности ликвидировать любые проникновения неизвестного вредоносного ПО.
Требования. Ваш межсетевой экран нового поколения по умолчанию должен классифицировать весь трафик на всех портах — это тот критерий, который должен обязательно учитываться при разработке архитектуры и модели управления средствами безопасности.
Существует два поведения при написании правил межсетевого экрана.
Существует два поведения при написании правил межсетевого экрана.
Позитивная модель (блокирование по умолчанию всего неизвестного) подразумевают классификацию всего трафика, чтобы мы блокировали только неизвестный, тогда как негативная модель (разрешение по умолчанию всего неизвестного) подразумевают классификацию только определенного трафика, поскольку, если мы не знаем какой-то протокол или приложение, то мы просто его пропускаем.
Классификация всего трафика и выявление неизвестного — это только первая задача для вашего межсетевого экрана. Ваш межсетевой экран нового поколения должен обеспечить видимость всего неизвестного трафика, на всех портах. Он должен уметь быстро выполнять анализ этого трафика и определять его природу —
- внутреннее или самописное приложение,
- коммерческое приложение без готовой сигнатуры или
- угроза.
Кроме того, межсетевой экран должен уметь:
- создавать пользовательскую сигнатуру для трафика,
- собирать и отправлять PCAP трафика коммерческого приложения в лабораторию для проведения дальнейшего анализа или проведения аналитического исследования, которое позволит определить, не является ли трафик угрозой.