Zoom и GlobalProtect лидируют в списке популярных приложений для удаленного доступа

Компания Okta просмотрела статистику роста числа подключений и лидирующим приложением для конференций стало приложение Zoom, а для удаленного доступа стало приложение GlobalProtect. Компания Palo Alto Networks приняла решение поддержать мир и предложила компаниям использовать бесплатно виртуальные NGFW как VPN шлюзы и также разрешила использовать функционал HIP бесплатно всем заказчикам. Также были выпущены готовые конфигурации VPN в виде шаблонов IronSkillet для NGFW и выпущены подробные инструкции как это настроить. Например, на русском языке.

И еще интересно, что много заказчиков стали пользоваться VPN и NGFW как услугой в рамках сервиса Prisma Access. Подробный рассказ в видеоролике

Защита индустриальных сетей ICS, SCADA, 5G

https://www.paloaltonetworks.com/resources/whitepapers/industrial-control-blueprint-reference

Провели вебинар, где рассказал про то нужна ли сертификация для СОВ и МСЭ согласно 239 приказа ФСТЭК Затем список приложений и сигнатур IPS для АСУТП

Также я привел пример реальной интеграции в сеть на основе VLAN Insertion

Как выглядит VLAN Insertion

Про мобильные сети нужно делать отдельный вебинар, успел отметить что есть K2-series firewall для мобильных операторов производительностью 1Тбит/сек.

По традиции расписываю Timeline для быстрого доступа.

Timeline: 0:16 239 приказ ФСТЭК для ЗКИИ не требует сертификации СОВ и МСЭ 2:26 K2-series firewall для мобильных операторов 3:38 Поддерживаемые функции в K2 firewall 4:33 История взлома химического завода через кофе-машину 5:56 Основные проблемы: Shadow IT, поведение пользователей, традиционные средства защиты 7:16 Цифровая трансформация для Industrial Internet of Things (IIoT) 7:41 Статистика по взломам производственных компаний 9:20 Чем отличается безопасность в Information и Operational Technology: фокус, обновления, приоритеты 13:12 Сигнатуры IPS для ICS протоколов 13:50 Статистика NSS Labs по техникам обхода IPS 14:40 Какие приложения видит NGFW: DNP3, IEC 104, ICCP, S7, Modbus, BACnet и другие 17:48 Обзор всей линейки моделей NGFW 18:24 Обзор PA-220R - сертифирован для работы в тяжелых условиях 19:24 Сегментация Zero Trust 20:50 Пример конкретных шагов по реализации безопасности в ICS инфраструктуре 21:35 Список контролей Top 20 Critical Security for Cyber Security 22:46 Инвентаризация - сканируем сеть и рисуем схему 23:50 Мониторинг и визуализация сетевых потоков в SIEM, Panorama, ACC 25:50 Разделение корпоративной сети и DMZ 26:30 Отделение PCN 26:40 Технология VLAN Insertion метод 1 27:50 VLAN Insertion метод 2 29:47 Что настраивать на свитчах 30:27 Что настраивать на NGFW 31:22 Схема к которой мы стремились - маршрутизация плоской сети через NGFW 33:15 Теперь начинаем реализовывать контроли 33:45 Как работать с уязвимостями 35:00 Два подхода: детектировать или блокировать + обновлять или не обновлять 37:15 Burwood Group Lifecycle для цифровой трансформации 39:08 Лучшие методики для защиты IIoT 40:07 Три кита защиты для платформы Palo Alto Networks 40:31 Партнеры Palo Alto Networks 41:12 Siemens, Honeywell, Schlumberger, Accenture, Splunk, Indegy, CyberX, Armis, Nozomi Networks, Security Matters 41:20 XML API для интеграции с партнерскими решениями 42:20 Предлагаем провести workshop по защите ICS и SCADA и сделать SLR отчет 43:35 Выводы 44:45 Gartner, NSS Labs, Forrester

Примеры правил для NGFW в SCADA сети

Пример защиты крупной фармацевтической компании

Пример защиты крупной нефтяной компании

Пример успешной интеграции защиты с Siemens

Партнерские решения 

Подробнее на сайте https://www.paloaltonetworks.com/security-for/industry/scada-and-industrial-control

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru

Маркетинг Fortinet запутался в собственных datasheet

FW и NGFW это разные функции и разная нагрузка, но Fortinet умудрился их приравнять.

В своем пресс-релизе Fortinet сравнивает производительность 4200F с выключенным контролем приложений и Palo Alto Networks PA-5260 с включенным контролем приложений. Это абсурд. Кому-то нужно повторить школьные уроки, где учили приводить к общему знаменателю. С тем же успехом можно было сравнивать скорости груженого и пустого автомобиля. Или еще пуще сказать, что 800 рублей больше чем 64 доллара. Причем, по мнению маркетинга, раз числа отличаются в 8 раз, то и реальная производительность, измеренная в разных режимах - тоже! ) В реальности все наоборот: 4200F выдает в режиме NGFW 40 Гбит/с, то есть в 20 раз меньше рекламируемой тут, что четко указано в их datasheet: 

Как получается 800 Гбит/с и 40 Гбит/с у одного устройства? 

• 800 Гбит/с — это максимальная пропускная способность Fortinet 4200F в режиме когда вся безопасность выключена: L4 firewall.
• 40 Гбит/с — это максимальная пропускная способность Fortinet 4200F с анализом набора различных приложений L7 (NGFW). Анализ приложений - это сложно, и поэтому скорость устройства падает в 20 раз, о чем они четко пишут сами. Причем это скорость в быстром режиме (Flow Mode). При включении более безопасного для сети режима (Proxy Mode) обычно производительность еще в 2 раза медленнее, плюс производительность антивируса медленнее, потому что трафик не попадает на чипы ускорения. 

Отличие L4 firewall от NGFW описано кратко тут и подробно тут. 

Для сравнения, скорости анализа L7 других производителей:

• 64 Гбит/с - максимальная пропускная способность Palo Alto Networks NGFW PA-5260 с анализом набора различных приложений L7.
• 51,5 Гбит/с - максимальная пропускная способность Check Point 28000 c анализом набора различных приложений L7.

Очевидно, когда делали пресс-релиз, не поняли почему Firewall Throughput Fortinet не то же самое, что Firewall Throughput  Palo Alto Networks. Я уверен, технические специалисты Fortinet это понимают.

Важно знать, что тесты производительности у каждого устройства идут на своем наборе приложений, что создает разную нагрузку на процессоры и память. Поэтому сравнивать значения из разных datasheet разных вендоров - некорректно, ведь условия тестирования неравны. Нужно смотреть тесты NSS Labs, где приводятся результаты на одинаковых профилях трафика: финансовом, баз данных, голосовом, видео и др. Выбранный профиль трафика подается через все тестируемые устройства и там уже справедливо можно сравнивать и оценить какая пропускная способность будет в вашей сети.

Еще со школьных уроков физики мы знаем, что сравнивать производительность устройств, делающих разную работу нельзя. FW и NGFW это разные режимы и разная нагрузка. 

Еще аналогия, чтобы понять трудозатраты устройства в этих двух разных режимах. Что вы быстрее читаете: заголовок книги или всю книгу? Так вот Fortinet читает только заголовки книг (в режиме L4), в то время как Palo Alto Networks читает всю книгу полностью (в режиме L7). И Fortinet говорит, что "читает" книги быстрее! Честно ли это? 

Как правильно сравнивать

Чтобы стать таким же функциональным NGFW, как Palo Alto Networks, в Fortinet нужно 

• включить Application Control, чтобы видеть приложения;
• включить Policy Mode, чтобы писать правила по приложениям;
• включить Proxy Mode или NGFW Mode, чтобы нормально работал антивирус;
• выключить intelligent-mode, чтобы нормально работал IPS. 

У Palo Alto Networks все проще - там один нужный всем режим защиты.

Вообще, когда мы говорим слово NGFW, главная цель - реализовать важные функции для безопасности, например, заблокировать tor, teamviewer, bittorent, skype. И, конечно, включение дополнительных функций требует больше процессорного времени на их выполнение, что снижает скорость анализа трафика в 20 раз, что и указано в datasheet 4200F и такая же ситуация у всех производителей - это законы физики. Это цена безопасности: те, кто ходил в театр или футбол знают как повлияло на скорость входа введение рамок. Ну и тут вопрос для вас: хотите ли вы пустить бомбу или криптолокер к себе внутрь, используя портовый firewall или хотите остановить угрозы, используя NGFW. Хотите ли вы пропускать все 1300 разных приложений, использующих 443 порт? 

Пример: Компания Garmin была атакована криптолокером и все подразделения компаний были остановлены. 

Пример: Международная компания Norsk Hydro была атакована криптолокером LockerGoga, остановлены заводы, склады, офисы по всему миру и только облачная почта Office365 осталась функционировать

Если у вас межсетевой экран, который не проверяет приложения и в сети более 300 хостов, то с большой долей вероятности бомба уже у вас внутри и ждет команды из центра управления. Вы просто об этом не знаете. И я не запугиваю: вижу результаты аудитов. Их сейчас, кстати, все производители делают бесплатно. Например, Check Point или Palo Alto Networks. Обратитесь в вашему партнеру и вы будете лучше знать свою сеть. Бесплатно!

Скорость устройства с выключенными функциями - это бесполезный параметр для безопасности сети. Нелепо говорить, что разрешение всех приложений по 443 порту - это безопасно. Вы разрешаете все бот-сети, все прокси, все хакерские утилиты вместе с обычными приложениями, где все файлообменники, вся веб-почта, youtube, другие приложения для голоса и видео. Полный список приложений идущих по 443 порту в реальной сети тут.

NGFW покупают для защиты сети, поэтому вам нужно выбирать устройство по производительности в режиме защиты. Это важно. И этот параметр указывает каждый производитель (смотрите на параметр Threat Prevention в datasheet). Ведь именно в этом режиме будет работать устройство в вашей сети. Зачем все эти другие скорости в Datasheet? Только сбивают с толку. Что делает NGFW для защиты: ищет туннелирование приложений внутри 443, 80 и 53 порта (которые всегда открыты в сети), в нем работает URL фильтр, IPS и антивирус, и другие движки современные. 

Смотреть грамотно при выборе NGFW только в графу Threat Prevention. Все параметры влияющие на производительность в этой графе я перечислил в статье.

Всегда задавайте вопрос к условиям измерения производительности в режиме Threat Prevention, потому что все производители измеряют его в специальных условиях на своем наборе приложений и своем наборе транзакций разной длины и бывает, что завышают этот параметр в 2 - 3 раза, что видно по независимым тестам и по работе в вашей сети.

Fortinet в своем маркетинговом datasheet пишет этот самый важный параметр для заказчика Threat Prevention, и он 35 Гбит/с, а в рекламе показывает 800 Гбит/с. И опять же маркетинг пишет, что на этой скорости обеспечивается безопасность! У меня нет слов… Что это: намеренный обман или непрофессионализм? Чувствуют ли они разницу между Firewall Throughput и NGFW Throughput?

От чего зависит скорость NGFW

Важно знать, что максимально возможная скорость передачи данных через одно и то же устройство NGFW в режиме Threat Prevention может отличаться в 10 раз, когда вы подаете трафик сессиями разной длины: короткими или длинными. 

Сравните:

1) 10 Гбит за секунду можно прогнать в одной TCP сессии, скачав файл 1,25 Гигабайт одной транзакцией;

2) 10 Гбит за секунду можно прогнать как 10000 TCP сессий, скачав файлы по 125 килобайт. 

В роутерах длина сессии TCP не так влияет на пропускную способность, а в устройствах NGFW становится очень критична, потому что в первом случае вы запускаете внутри один раз антивирус + IPS + URL фильтр и т.д., а во втором случае 10000 раз запускаете антивирус + IPS + URL - это более сложная работа, которую надо сделать за одну секунду.

Когда Palo Alto Networks предложила измерять скорость NGFW на одинаковом трафике HTTP с транзакциями длиной 64Кб – все отказались. Поэтому надежда только на независимые тесты NSS Labs и NetSecOpen. Вот, например, тут уже начали публиковать такие тесты на разных размерах транзакций https://www.netsecopen.org/certifications

Существуют еще такие важные параметры как
- тип трафика (SMB, FTP, HTTP, SMTP, DNS, SSL, RTP, SIP);

- число новых соединений в секунду (время на установление соединения HTTP и HTTPS разное);

- одновременное число сессий (память в устройстве фиксирована на хранение таблиц сессий и параметров работы всех приложений).

Однако это тема другой статьи. Stay turned.

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru

Вебинар №7 Функционал SD-WAN в Palo Alto Networks NGFW

Мы уже рассказывали как подключить большую компанию к сервису Prisma Access https://www.securitylab.ru/blog/personal/Morning/347985.php

Также распределенные компании с множеством офисов могут сделать доступ, используя собственные NGFW и атоматически развернуть устройство и балансировать каналы для различных приложений на основе измеренного jitter, latency и packet loss. Подробнее в вебинаре.

Виджеты NGFW для SOC и использование Application Command Center (ACC) для анализа трафика и угроз

Меня часто спрашивают что за вкладка в NGFW под названием ACC.

ACC - это сокращение от фразы Application Command Center (ACC). Вы сюда заходите, если у вас есть цель узнать какие в сети самые активные приложения или пользователи, самые частые атаки, вирусы, URL категории. Для этого межсетевой экран ведет специальные журналы статистики, в которых собирается вся эта информация. Таким образом каждый NGFW предоставляет функции аналитики по трафику и по угрозам.  В NGFW подробные журналы могут быстро переполниться, а вот статистические журналы хранят информацию за несколько месяцев.

Такие графики удобно повесить на экранах SOC и периодически в них посматривать. Это позволяет обнаружить аномалии: трафик, которого раньше не было, пользователей, которые стали слишком активны, страны, с которыми вы раньше так много не сотрудничали, вирусы или бот-сети, которые вдруг объявились.

Видеоролик с описанием как фильтровать события в ACC, переходить в подробные журналы и создавать custom report

Чем вы защищаете свои 46% трафика HTTP/2 на периметре

После того как мы разобрались, что 60-80% трафика на периметре идет по SSL/TLS, то теперь новая проблема: все больше трафика на периметре идет по HTTP/2.

HTTP/2 использует одно TCP соединение, для передачи нескольких файлов с сайта. Это ускоряет работу браузера и одновременно усложняет работу средствам защиты. Подробнее про HTTP/2 тут https://www.cossa.ru/152/129649/

Ускорение очень хорошо показано на этом графике для сайта на Bitrix:
https://klondike-studio.ru/blog/ssl-na-bitriks-virtualnoy-mashine-s-pomoshchyu-let-s-encrypt/

Проверьте в своем межсетевом экране как он проверяет HTTP/2 и есть ли в нем анализаторы для HTTP/2.

https://www.ssllabs.com/ssl-pulse/ считает, что уже 46,3% трафика это HTTP/2

https://w3techs.com/technologies/details/ce-http2 считает также

Для примера, это список приложений на Palo Alto Networks NGFW, которые используют HTTP/2 у меня дома

Application	Bytes
web-browsing	1322877331
facebook-video	951668819
youtube-uploading	168097106
gmail-base	131868186
facebook-base	121796345
google-base	108236643
twitter-base	83510736
youtube-base	81062086
clearspace	43943037
gmail-posting	23669733
google-maps	19082103
google-play	13946745
draw.io-base	9640522
google-calendar-base	9391347
google-hangouts-chat	9365192
evernote-base	8587980
vkontakte-base	8018966
google-hangouts-base	7970178
slack-base	7687055
facebook-posting	6703854
gmail-downloading	5238196
instagram-base	3703381
google-app-engine	2830855
blogger-blog-posting	2484407
mail.ru-base	2067201
google-analytics	2064223
evernote-downloading	1707771
gmail-uploading	1152825
facebook-social-plugin	1103539
google-hangouts-audio-video	925118
google-cloud-storage-base	643062
pinterest-base	593854
flickr-base	585384
vimeo-base	570248
google-docs-base	542159
twitch	285885
facebook-chat	218770
cloudinary-base	174181
google-update	139202
twitter-uploading	136396
zendesk-base	84180
yahoo-web-analytics	74596
windows-azure-base	48229
zoom-base	35176
quora-base	30649
rss	28858
hubspot	26131
google-docs-editing	25906
google-plus-base	23087
appdynamics	21425
youtube-posting	20795
linkedin-base	19762
youtube-streaming	16372
twitter-posting	11722
lastpass	11361
dropbox-base	11228
office365-consumer-access	8126
soundcloud-base	2284

И важно, что HTTP/2 должен использовать TLS 1.2, поэтому вы не просто будете искать атаки и вирусы внутри HTTP/2, а еще и внутри TLS 1.2.

Напомню, что расшифровать весь TLS трафик не получится, потому что не все приложения согласны на вскрытие SSL и используют SSL Pinning и проверку клиентских сертификатов. Плюс в своей компании вы еще и ограничены законодательством: нельзя расшифровывать банковские данные, данные медицинских анализов и др.

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru