Как правильно оценить производительность NGFW: путеводитель по метрикам безопасности сети

Введение: аналогия с поликлиникой

Представьте себе поликлинику, способную пропускать 360 пациентов в час или одного в секунду. Звучит впечатляюще, не так ли? Но отражает ли это реальную эффективность медицинского учреждения? Конечно, нет. Ведь мы понимаем что за 1 секунду нельзя проверить здоровье человека и тем более вылечить. Это бессмысленный параметр, показывающий производительность входной двери, но не поликлиники в целом. Аналогичная ситуация складывается с оценкой производительности устройств сетевой безопасности, таких как Next-Generation Firewall (NGFW). Высокие значения пропускной способности поначалу впечатляют, а после изучения вызывают недоумение.

Ключевые факторы влияющие на производительность NGFW

1. Движки проверки трафика:
   • DPI (Deep Packet Inspection)
   • User-ID
   • IPS (Intrusion Prevention System)
   • URL-фильтрация
   • Антивирусная защита
   • Threat Intelligence
   • Песочница (Sandbox)
2. Преобразование зашифрованного трафика и сертификатов:
   • IPSEC туннели
   • SSL-шифрование

Почему "сырые" показатели скорости могут вводить в заблуждение?

Производительность NGFW, измеренная только на UDP-пакетах или в пакетах в секунду, подобна оценке работы поликлиники по скорости входа и выхода пациентов. Эти метрики не учитывают реальные процессы обработки данных и обеспечения безопасности.

На что обратить внимание при выборе NGFW?

Ключевой показатель: Threat Prevention или Threat Protection (TP)

При изучении технических характеристик (datasheet) NGFW, обратите особое внимание на параметр "Threat Prevention" или "Threat Protection". Это наиболее важный показатель, отражающий реальную скорость проверки сетевых пакетов на наличие угроз.

Заключение

Выбирая NGFW для защиты вашей сети, не поддавайтесь соблазну "сырых" показателей производительности: на UDP пакетах, Packet Per Second (PPS) Frame Per Second (FPS). Сосредоточьтесь на метриках, отражающих реальную способность устройства, чтобы затем обеспечивать комплексную защиту при реальных рабочих потоках трафика.

Для более глубокого понимания темы рекомендуем ознакомиться с видеоматериалами, демонстрирующими практические примеры оценки производительности NGFW.

Шокирующий арест Павла Дурова в Париже: основателя Telegram обвиняют в содействии преступности

Создатель мессенджера Telegram, миллиардер Павел Дуров арестован в аэропорту Парижа. Об этом сообщает французский новостной канал LCI.

Вот что пишут французы (переведено в google translate):

 «На своей платформе он допустил совершение бесчисленных правонарушений и преступлений, в отношении которых он не предпринимал никаких действий для модерации или сотрудничества», — анализирует источник, близкий к делу.

Telegram — это улей криминального контента. В настоящее время платформа фигурирует в новостях с нелегальной трансляцией матчей Лиги 1. Но на этом сервисе зашифрованных сообщений многие учетные записи используются организованной преступностью. Помимо терроризма, самые опасные дети-преступники общаются в Telegram для обмена контентом. «За долгие годы она стала платформой номер 1 для организованной преступности», — комментирует следователь.

Новинка в кибербезопасности: Киберпугало заставляет хакеров обходить ваш компьютер стороной! В чем секрет?

В мире киберугроз происходит нечто удивительное: хакеры сами стали жертвами своих собственных уловок! Как это возможно? Давайте разберёмся.

Современные вредоносные программы очень хитрые: они проверяют, установлены ли на компьютере средства анализа, такие как отладчики или виртуализация. Если такие инструменты обнаружены, вредоносное ПО просто останавливается, думая что его уже обнаружили или что оно работает в песочнице для анализа.

И на сцену выходит Киберпугало — ваш защитник в мире киберугроз! Эта программа работает в фоновом режиме, «подделывая» индикаторы работы защитных средств. Вредоносные программы начинают думать, что ваш компьютер не подходит для атаки и не запускаются.

- Киберпугало запускает поддельные процессы, которые выглядят как инструменты для анализа безопасности, но на самом деле ничего не делают.

- Киберпугало создает фиктивные записи в реестре Windows, создавая иллюзию, что на вашем компьютере установлены средства защиты.

Это только начало! Уже сейчас Scarecrow демонстрирует потрясающие результаты.

В мире кибербезопасности важно быть на шаг впереди. Киберпугало —  ваш надежный союзник в борьбе с вредоносными программами. Читайте блог, чтобы узнать больше о том, как защитить себя в этом опасном цифровом мире!

Почему в datasheet у NGFW производительность одна, а потом в реальной сети - другая.

Сегодня был интересный разговор в чате по NGFW

Пользователи спрашивают: 

1. Почему в datasheet у NGFW производительность одна, а потом в реальной сети - другая. 

2. Как понять какая же скорость будет в вашей сети.

Ответ: друзья, все тесты в datasheet - искусственные. Чтобы узнать производительность межсетевого экрана, нужно его тестировать на вашем трафике.

Gartner не разобрался в SOAR

Цикл хайпа по Gartner. Где SOAR многие разочарованы.

SOAR жив: Развенчиваем мифы о судьбе Security Orchestration, Automation and Response

В мире кибербезопасности появились слухи о "смерти" 😱SOAR (Security Orchestration, Automation and Response) после некоторых заявлений Gartner. Давайте разберемся, что происходит на самом деле и почему SOAR остается важным инструментом для специалистов по безопасности.

Что на самом деле сказал Gartner о SOAR

😱Странные слухи, что Gartner чуть ли не убил весь класс продуктов SOAR. С чего вы взяли? 🚫 Gartner всего лишь не планирует публиковать Magic Quadrant для SOAR. Исследование Gartner по IT-услугами (ITSM) указывает на неудовлетворенность специалистов по безопасности и устаревшими продуктами и решениями SOAR. А с тем же SIEM такого никогда не было? Я помню тех людей, которые покупали SIEM и потом ждали что у них сами люди обучатся инциденты расследовать и процессы наладятся сами - а оказалось, что это тоже работа менеджмента.

Критика ограничений SOAR: Насколько она обоснована?

В отчете Gartner отмечены следующие критические ограничения SOAR:

• Высокие первоначальные затраты на установку и внедрение. А SIEM или NGFW прямо с полпинка внедряется? ;)
• Высокие затраты на поддержку и обслуживание. Даже так? ) По сравнению с чем? ) А переписывать питон скрипты при смене API - это прямо совсем недорого? )
• Требование наличия специалистов с обширными навыками программирования. А они вообще пробовали SOAR или что-то из области No-Code? )
• Проблемы интеграции и совместимости с инструментами третьих сторон. Это да, согласен, но это общая проблема рынка, а не только продуктов SOAR. Так ведь SOAR и создан, чтобы эту проблему решать. 
• Нереалистичные ожидания, что SOAR может решить все проблемы безопасности как автономное решение. А от других продуктов значит ожидания реалистичные? )

Мое понимание, что в Gartner просто не нашлось специалиста, который смог адекватно оценить и сравнить продукты этого класса, как это смог сделать Антон Чувакин для SIEM в свое время. Я почитал их отмазку "Недостаточная зрелость рынка: SOAR как категория технологий находится на стадии формирования. Gartner предпочитает дождаться более четкой картины для создания качественной и информативной оценки" ЧТО?! ) ДА ЛАДНО! 😆 

История и развитие SOAR: От инновации до зрелого решения

Я прекрасно настраивал людям Cortex XSOAR и это был прекрасно сформировавщийся продукт и его сделала изначально компания Demisto. Людям было удобно подключать молодых сотрудников к процессам, на основе готовых плейбуков, и которые молодежь даже не знала как работают, и они учились по этим плейбукам старших товарищей - это позволяет быстрее адаптировать нового сотрудника в SOC. Спасибо, SOAR.

Я прекрасно помню как на конференции RSA я был под впечатлением от выступления компании Phantom, которая и придумала идею SOAR - цеплять всех вендоров через API и управлять ими через плейбуки. Удобная автоматизация и оркестрация - это мечта любого специалиста.

Phantom выступал на RSA Conference еще в 2016 году 🔥, где был назван "Самым инновационным стартапом" конференции. Это признание было получено в результате конкурса, в котором участвовало 10 финалистов, и Phantom был выбран победителем жюри, состоящего из венчурных капиталистов и экспертов в области безопасности.

И Splunk потом купил Phantom.

Будущее автоматизации кибербезопасности: SOAR vs AI

Gartner считает, что нужно смотреть на более зрелые решения класса AI. Да, пусть AI угадывает параметры XML для новой версии API вендора - ведь проблема то в этом.

Инструменты автоматизации рабочих процессов должны преобразовывать события в оповещения для администраторов, создавать каналы связи между разными типами устройств защиты, обновлять статус инцидента в реальном времени. В общем очередная мечта об одной красной кнопке "сделать все" умерла....

Ну так это не проблема класса продуктов, это работа человеческой психологии. Могут ли сегодняшние средства защиты устранять проблемы в один клик для сценария, например, когда все Windows лежат в синем экране от CrowdStrike бага? Нет.

Несмотря на критику, SOAR продолжает играть важную роль в современной кибербезопасности.

Что вы думаете о будущем SOAR? Поделитесь своим опытом использования этих инструментов в комментариях.

Detection, Deception and Response - как NDR и DDP ускоряют Time to Detect.

Сегодня мы вынуждены констатировать ситуацию, что хакеры находят способы проникать в корпоративные сети. Например, они воруют логин и пароль сотрудника и заходят во внутреннюю сеть через наш VPN шлюз, и работают от имени легитимного пользователя и забирают данные компании легитимными утилитами. Так было во время взлома Uber и Cisco, и многих российских компаний, которые пожелали остаться неизвестными. 

А как же двухфакторная аутентификация скажете вы? Почему не спасает MFA я уже описывал здесь (https://www.youtube.com/watch?v=j_nckY3gF6Q).

5 способов обхода MFA.

Поэтому задача команды SOC сегодня – как можно быстрее 🙈 обнаружить, что злоумышленник уже в сети.

Существует несколько вариантов получения сигналов в SIEM, SOAR, IRP (и SOC), о том, что злоумышленник уже в сети. 

Самый быстрый эффект дают системы, использующие поведенческий анализ, профилирование действий и также ловушки (Deception), поскольку в них работают поведенческие алгоритмы. Если вредоносный код можно заново скомпилировать под компанию и скрыть его, то вредоносное поведение в сети изменить сложно. Именно на это нацелены эти классы решений. Рассмотрим эти варианты:

1. Сравнение типового поведения пользователей и выявления паттернов вредоносной деятельности в их действиях. Важно, что NDR работает как в корпоративной сети, так и ICS/SCADA, ведь пользователи и там и там буду использовать сеть:

• передача злонамеренных программ с хоста на хост – это модуль проверки передаваемых файлов в протоколах SMB, FTP, HTTP, SMTP, POP3, IMAP. В SMB и FTP часто можно увидеть передачу программ удаленного управления и криптолокеров; cистемы класса NDR позволяют своевременно остановить такое распространение и изолировать хост и аккаунт атакующего;
• lateral movement, когда злоумышленник с одного хоста пытается залогиниться на другой хост, к которому ему не нужен доступ по работе, или не было доступа ранее; Deception и NDR своевременно это обнаруживают и блокируют;
• скачивание аномального большого объема данных с серверов или отправка данных в Интернет на внешние ресуры;
• появление несанкционированных устройств, которые ранее не были зарегистрированы ИТ службой (Shadow IT);
• использование известных уязвимостей – выявляется модулем IDS встроенным в такие системы;
• использование Zero Day выявляется постфактум, во время разбора инцидента, поскольку система полностью записывает трафик;
• использование Zero Day в файлах минимизируется за счет интеграции с песочницей и проверкой всех новых файлов в компании на системах поведенческого анализа;
• контроль исходящих соединений из сети в Интернет на основе уже известных баз Threat Intelligence, проверки DNS запросов и также за счет работы обученных моделей Machine Learning.
• контроль трафика может происходить как на основе сбора сырых пакетов с сетевых брокеров и SPAN портов, так и с других систем сбора статистики NetFlow, уже имеющихся в компании;
• в ICS/SCADA будут выявлены аномальные команды, которые ранее не передавали в контроллеры;
• единая система управления позволяет увидеть все что происходит во всех уголках сети, поэтому защиту можно и нужно расширять и устанавливать дополнительные компоненты контроля в разных филиалах и подразделениях компании. Ведь филиалы - часто страдают от недостатка внимания - поставьте там сенсор NDR и/или Deception.

19 способов проникновения и как NDR их отслеживает.

2. Ловушки (DDP, Deception), расставленные по сети, будут первыми выявлены злоумышленником, поскольку специально разработаны, чтобы приманка была то самое сладкое, что увидел злоумышленник на рабочей станции и в сети. И также системы класса Deception привлекут злоумышленника, как только он попытается перемещаться по сети (lateral movement) и изучать ее. 

От чего защищают Deception (DDP) продукты или как обнаружить злоумышленника в сети компании.

Используйте эти средства быстрого выявления злоумышленника. Не ждите, когда он сам объявится с просьбой заплатить выкуп.